Vom Heise-Ticker:

"Wurm W32.Bagle kursiert
[-]
Ein neuer Wurm treibt seit kurzem sein Unwesen: W32.Bagle kommt wie viele andere Computerschädlinge auch per E-Mail ins Haus, versucht sich über seine eigene SMTP-Engine weiterzuverbreiten und öffnet eine Hintertür in infizierte Systeme. Gefährdet sind alle Windows-Betriebssysteme. Der Mail-Wurm kursiert seit dem Wochenende und verbreitet sich besonders in Deutschland ziemlich stark.

Die Träger-E-Mails enthalten alle die Betreffszeile "Hi" und einen zufälligen Text im Body der Mail sowie als Namen des Attachments (.exe). Führt der Anwender das Attachment aus, überprüft der Schädling zunächst, ob das Systemdatum vor dem 28. Januar 2004 steht. Wenn nicht, beendet sich der Wurm selbst und hat damit ein Verfallsdatum ähnlich wie die Sobig-Varianten im vergangenen Jahr.

Bei Infektion vor dem 28. Januar legt der Wurm eine Datei "bbeagle.exe" im Windows-Systemverzeichnis an und startet diese bei jedem Boot über die Windows-Registry. Der Schädling sucht in .wab-, .txt.-, .htm- und .html-Dateien nach E-Mail-Adressen, um sich weiterzuverbreiten, auch die Absenderadressen werden damit gefälscht. Ferner öffnet der Schädling den Port 6777 nach außen, vermutlich handelt es sich dabei um eine Backdoor-Funktion. Bagle versucht zusätzlich Kontakt zu knapp 40 Servern aufzunehmen, um ein PHP-Skript nachzuladen; nach Angaben von Network Associates sind diese Skripte zum derzeitigem Zeitpunkt aber auf keinem der Server vorhanden.

Sowohl bei Network Associates als auch bei Trend Micro hat man bereits viele Bagle-Würmer registriert; Network Associates stuft das Risikopotenzial auf "Medium" ein, bei Trend Micro hat man "Yellow Alert" ausgerufen. Für die Scanner von Network Associates (McAfee) und Trend Micro gibt es bereits aktuelle Virensignaturen, andere Antiviren-Hersteller sollten ihre Signaturdateien im Laufe der Woche aktualisiert haben.

Weitere Hinweise zu Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Detail-Informationen zu W32.Bagle gibt es zudem in den Viren-Infodatenbanken beispielsweise von NAI, Symantec oder Trend Micro. (pab/c't)"

Link: http://www.heise.de/newsticker/data/pab-19.01.04-001/

MTT

und von RAV bekomme ich gerade folgende Meldung:

</font><blockquote>Zitat:</font><hr />Ausschnitt:
Mitglieder is a trojan that functions as an e-mail relay. The trojan kills tasks of several programs and reports certain info to its creators. Bagle worm has the functionality to download and activate this trojan from a website.</font>[/QUOTE]Nachzulesen hier: http://www.europe.f-secure.com/v-descs/mitglied.shtml

Da Bagle lt. Beschreibungen diverser AV-Hersteller sich 'nur' bis zum 28.01.04 verteilen soll (Zitat RAV: It has been programmed to stop spreading on 28th of January.), stellt sich mir schon die Frage, ob das ein 'Test' oder vielleicht sogar schon der 1. Schritt für etwas 'Größeres' sein soll?!?
Ich meine, wenn sich jemand die 'Mühe' macht, mail-relays zu schaffen, kann ich mir nur schwerlich vorstellen, dass das schon alles war.
Man darf also gespannt sein, was da noch evtl. nachkommt... [img]graemlins/pfui.gif[/img]

tschööö, DerBilk

Nachtrag: Wie ich gerade sehe, stellt RAV schon ein Removal-Tool zur Verfügung: http://www.europe.f-secure.com/v-des...e.shtml#disinf

[ 19. Januar 2004, 17:06: Beitrag editiert von: DerBilk ]

Ist bei mir auch gerade reingetuckert! [img]smile.gif[/img]
One click and deleted.
KAV kennt ihn schon, gerade getestet! Mit KAV und Thunderbird kein Problem!

Dachte der Mailscanner funktioniert mit Thunderbird nicht

Wer braucht einen Mailscanner, wenn der Wächter läuft?

Wen es interessiert, das 'Spielchen' geht scheinbar tatsächlich weiter...

Folgendes tickerte mir gerade ins Postfach:
</font><blockquote>Zitat:</font><hr />In Auszügen:
...
The Trojan 'Mitglieder' then creates a thread 15 websites and opens a PHP page on one of those sites using certain parameters. The parameters include the IP address of the system, the port used for proxying, and the trojan's ID....

Es folgt eine Auflistung mehrerer Webseite, die der Trojaner zu kontaktieren versucht

...Finally, the trojan attempts to download a password-stealing trojan from one of 3 websites hard coded into its body. This trojan is a minor variant of PWSteal.Ldpinch (MCID 2176). As of this writing, the trojan is no longer available for download from the websites...Once the trojan is running, it allows remote users to relay email through a preconfigured port. This port will be 39999 by default.</font>[/QUOTE]tschööö, DerBilk

... immerhin bin ich scheinbar nicht der Einzige, der die 'paranoide' Wahnvorstellung hat, hinter Bagle könnte noch mehr stecken: http://www.spiegel.de/netzwelt/techn...282649,00.html

tschööö, DerBilk

Wir hatten den Virus leider in der Fa. aktiv - er kam am Montag gegen 13 Uhr rein und die Virenscanner waren da leider noch nicht mit dem neuen Datfile versorgt, da es da am Sonntag zu Problemen kam.

Natürlich leider haben die DAUs hier nichts besseres zu tun als auf die exe zu clicken und den Virus zu aktivieren. Ich habe diverse PCs an denen er Gestern schon gelöscht wurde, heute jedoch wieder aufgetaucht ist. Ich dachte er verbreitet sich nur indem man die Exe anclickt, kann es sein dass er sich auch irgendwie über Ports verbreiten will??

CU
J.