Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

I-Worm.Bagle.E


I-Worm.Bagle.E ist ein E-Mail-Wurm, es wird die eigene SMTP Engine verwendet.

I-Worm.Bagle.E öffnet NOTEPAD.EXE, kopiert sich als I1RU74N4.EXE und fügt im Windows-
Systemordner folgende Dateien hinzu:

II455NJ4.EXE - ein DLL-Plugin zum Laden von GODO.EXE
GODO.EXE - die hauptsächliche DLL-Komponente des Wurms
I1RU74N4.EXEOPEN - eine Kopie des Wurms in ZIP-Format

Weiters wird der Wert:

rate.exe = \i1ru74n4.exe

zu folgendem Registrierungsschlüssel hinzugefügt:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

W32/Bagle-E erstellt außerdem den folgenden Registrierungseintrag:

HKCU\Software\DateTime4\frun=1

Die E-Mails haben folgende Merkmale:

Betreff:

Price
New Price-list
Hardware devices price-list
Weekly activity report
Daily activity report
Maria
Jenny
Jessica
Registration confirmation
USA government abolishes the capital punishment
Freedom for everyone
Flayers among us
From Hair-cutter
Melissa
Camila
Price-list
Pricelist
Price list
Hello my friend
Hi!
Well...
Greet the day
The account
Looking for the report
You really love me? he he
You are dismissed
Accounts department
From me
Monthly incomings summary
The summary
Proclivity to servitude
Ello!
Ahtung!
The employee

Inhalt:

Kein Text !!!

Anhang:

Ein zufällig benanntes ZIP-Archiv

Ist das aktuelle Datum später als der 25.März 2004, löscht sich I-Worm.Bagle.E samt allen
Registrierungseinträgen.

Folgende Prozesse werden versucht zu beenden:

ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE

Entfernung:

Unter Windows NT/2000/XP/2003 müssen Sie den folgenden Registrierungseintrag für
jeden Anwender bearbeiten, der den Virus gestartet hat.

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Jeder Anwender hat einen Registry namens HKEY_USERS\[Codeziffer des Anwenders]\.
Suchen Sie für jeden Anwender den Eintrag:

HKU\[Codeziffer]\Software\Microsoft\Windows\
CurrentVersion\Run

Löschen Sie alle Verweise auf "rate.exe = \i1ru74n4.exe".
Schließen Sie den Registrierungseditor.








Linktipps: Hot Blog