|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Bagle.B
Das eMail hat folgendes Aussehen:
Betreff: ID xyz thanks
Mailtext:
Yours ID xyz
--
Thank
xyz ist variabel
Das Attachment ist eine EXE-Datei mit einem Sound-Icon. Der Dateiname ist ebenfalls variabel.
Wird der I-Worm.Bagle.B durch den Empfänger per Doppelklick aktiviert, öffnet sich der Soundrecoder von Windows, sowie kopiert sich der Wurm unter dem Namen "au.exe" in das Windows-System(32)-Verzeichnis.
Der folgende Registryeintrag startet den Wurm bei jedem Systemneustart:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "au.exe" = C:\WINNT\SYSTEM32\AU.EXE
Weiters wurden folgende Registryeinträge angelegt:
HKEY_CURRENT_USER\Software\Windows2000 "frn"
HKEY_CURRENT_USER\Software\Windows2000 "gid"
Mit seiner eigenen SMTP-Engine versendet sich der Wurm an alle eMailadressen die er in den Dateien .WAB, .TXT, .HTM oder .HTML findet.
Als Absenderadressen sind folgende TLDs möglich:
@hotmail.com
@msn.com
@microsoft
@avp
Wie schon der I-Worm.Bagle.A hat auch sein nachfolger eine Hintertür und zwar lauscht der Bagle.B auf dem Port 8866 auf weitere Befehele seines Programmierers.
Die folgenden Domains werden vom I-Worm.Bagle.B per GET angsprochen und eine PHP-Datei sollte abgerufen werden welche aber auf den jeweiligen Servern nicht vorhanden ist.
http://www.47df.de
http://www.strato.de
http://intern.games-ring.de
Ab dem 25.Februar dürfte es um diesen Wurm auch wieder ruhiger werden da an diesem Tag seine Weiterbreitung gestopt wird.
Manuelle Entfernung:
1. Beenden Sie den Task des Wurmes
2. Löschen Sie die Registryeinträge
3. Löschen Sie die Datei
|
|
Linktipps: Laufen - Tipps
|
|
|
|
