Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

I-Worm.Bagle.H


Alias: W32/Bagle-H@mm, I-Worm.Bagle.h, Win32/Bagle.H, W32.Beagle.H@mm, WORM_BAGLE.H,
W32/Bagle-H

I-Worm.Bagle.H ist ein E-Mail-Wurm, es wird die eigene SMTP Engine verwendet.
Er versendet sich als ZIP-Datei, öffnet Port 2745 und wartet remote auf Befehle.

Die E-Mail-Adressen sucht sich I-Worm.Bagle.H in Dateien mit folgenden Endungen:

.WAB,.TXT,.HTM,.XML,.DBX,.MDX,.EML,.NCH,.MMF,.ODS,.CFG,.ASP,.PHP,.PL,.ADB,.TBB,.SHT

I-Worm.Bagle.H fügt folgenden Wert

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
rate.exe = \i11r54n4.exe

in der Registrierung hinzu, außerdem noch folgende Dateien:

i1i5n1j4.exe - ein DLL-Plugin zum Laden von go154o.exe
go154o.exe - die hauptsächliche DLL-Komponente des Wurms
i11r54n4.EXEOPEN - eine Kopie des Wurms in kennwortgeschütztem ZIP-Format

Der Wurm kopiert sich im infizierten System unter %System%\i11r54n4.exe

Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält.
I-Worm.Bagle.H orientiert sich an der Windows-Installation


Folgende Prozesse werden versucht zu beenden:

AATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE


Das E-Mail hat folgendes Aussehen:

Betreff:

<
Hokki =)
Weah, hello! :-)
Weeeeee! :)))
Hi! :-)
:-)
:)
ello! =))
Hey, ya! =))
^_^ meay-meay!
^_^ mew-mew (-:
Hey, dude, it's me ^_^ :P



Inhalt:

Argh, i don't like the plaintext :)
I don't bite, weah!
Looking forward for a response :P

und

archive password:
password:
password --
pass:
-- archive password
...btw, "" is a password for archive
password for archive:




Anhang (.ZIP-Datei):

Attach
TextDocument
Readme
Msg
MsgInfo
Document
Info
AttachedFile
AttachedDocument
TextDocument
Text
TextFile
Letter
MoreInfo
Message


I-Worm.Bagle.H versucht durch entsprechende Remote-Befehle Dateien herunterzuladen und
Anti-Virenprogramme zu beenden.
Außerdem sucht er sich Ordner, in denen der Namen ".Shar" enthalten ist:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno Screensaver.scr
Porno pics arhive, xxx.exe
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe



Wird I-Worm.Bagle.H nach dem 25.März 2005 durchgeführt, wird der Wurm und sämtliche
Einträge in der Registry gelöscht.


Entfernung:

Sperren Sie die System-Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.








Linktipps: Wein