Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wurm W32.Bagle kursiert (Heise)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.01.2004, 14:53   #1
MyThinkTank
 
Wurm W32.Bagle kursiert (Heise) - Beitrag

Wurm W32.Bagle kursiert (Heise)



Vom Heise-Ticker:

"Wurm W32.Bagle kursiert
[-]
Ein neuer Wurm treibt seit kurzem sein Unwesen: W32.Bagle kommt wie viele andere Computerschädlinge auch per E-Mail ins Haus, versucht sich über seine eigene SMTP-Engine weiterzuverbreiten und öffnet eine Hintertür in infizierte Systeme. Gefährdet sind alle Windows-Betriebssysteme. Der Mail-Wurm kursiert seit dem Wochenende und verbreitet sich besonders in Deutschland ziemlich stark.

Die Träger-E-Mails enthalten alle die Betreffszeile "Hi" und einen zufälligen Text im Body der Mail sowie als Namen des Attachments (.exe). Führt der Anwender das Attachment aus, überprüft der Schädling zunächst, ob das Systemdatum vor dem 28. Januar 2004 steht. Wenn nicht, beendet sich der Wurm selbst und hat damit ein Verfallsdatum ähnlich wie die Sobig-Varianten im vergangenen Jahr.

Bei Infektion vor dem 28. Januar legt der Wurm eine Datei "bbeagle.exe" im Windows-Systemverzeichnis an und startet diese bei jedem Boot über die Windows-Registry. Der Schädling sucht in .wab-, .txt.-, .htm- und .html-Dateien nach E-Mail-Adressen, um sich weiterzuverbreiten, auch die Absenderadressen werden damit gefälscht. Ferner öffnet der Schädling den Port 6777 nach außen, vermutlich handelt es sich dabei um eine Backdoor-Funktion. Bagle versucht zusätzlich Kontakt zu knapp 40 Servern aufzunehmen, um ein PHP-Skript nachzuladen; nach Angaben von Network Associates sind diese Skripte zum derzeitigem Zeitpunkt aber auf keinem der Server vorhanden.

Sowohl bei Network Associates als auch bei Trend Micro hat man bereits viele Bagle-Würmer registriert; Network Associates stuft das Risikopotenzial auf "Medium" ein, bei Trend Micro hat man "Yellow Alert" ausgerufen. Für die Scanner von Network Associates (McAfee) und Trend Micro gibt es bereits aktuelle Virensignaturen, andere Antiviren-Hersteller sollten ihre Signaturdateien im Laufe der Woche aktualisiert haben.

Weitere Hinweise zu Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Detail-Informationen zu W32.Bagle gibt es zudem in den Viren-Infodatenbanken beispielsweise von NAI, Symantec oder Trend Micro. (pab/c't)"

Link: http://www.heise.de/newsticker/data/pab-19.01.04-001/

MTT
__________________
MTT says: "Privacy is a human right!" SAVE Privacy (PDF, 550 KB)

Alt 19.01.2004, 15:51   #2
Lutz
 

Wurm W32.Bagle kursiert (Heise) - Beitrag

Wurm W32.Bagle kursiert (Heise)



und von RAV bekomme ich gerade folgende Meldung:

</font><blockquote>Zitat:</font><hr />Ausschnitt:
Mitglieder is a trojan that functions as an e-mail relay. The trojan kills tasks of several programs and reports certain info to its creators. Bagle worm has the functionality to download and activate this trojan from a website.</font>[/QUOTE]Nachzulesen hier: http://www.europe.f-secure.com/v-descs/mitglied.shtml

Da Bagle lt. Beschreibungen diverser AV-Hersteller sich 'nur' bis zum 28.01.04 verteilen soll (Zitat RAV: It has been programmed to stop spreading on 28th of January.), stellt sich mir schon die Frage, ob das ein 'Test' oder vielleicht sogar schon der 1. Schritt für etwas 'Größeres' sein soll?!?
Ich meine, wenn sich jemand die 'Mühe' macht, mail-relays zu schaffen, kann ich mir nur schwerlich vorstellen, dass das schon alles war.
Man darf also gespannt sein, was da noch evtl. nachkommt... [img]graemlins/pfui.gif[/img]

tschööö, DerBilk

Nachtrag: Wie ich gerade sehe, stellt RAV schon ein Removal-Tool zur Verfügung: http://www.europe.f-secure.com/v-des...e.shtml#disinf

[ 19. Januar 2004, 17:06: Beitrag editiert von: DerBilk ]
__________________

__________________

Alt 19.01.2004, 16:04   #3
IT-Man
Gast
 
Ist bei mir auch gerade reingetuckert! [img]smile.gif[/img]
One click and deleted.
KAV kennt ihn schon, gerade getestet! Mit KAV und Thunderbird kein Problem!
__________________

Alt 19.01.2004, 22:18   #4
*Christian*
Gast
 
Wurm W32.Bagle kursiert (Heise) - Beitrag

Wurm W32.Bagle kursiert (Heise)



Dachte der Mailscanner funktioniert mit Thunderbird nicht

Alt 20.01.2004, 10:13   #5
IT-Man
Gast
 
Wer braucht einen Mailscanner, wenn der Wächter läuft?


Alt 20.01.2004, 16:36   #6
Lutz
 

Wurm W32.Bagle kursiert (Heise) - Beitrag

Wurm W32.Bagle kursiert (Heise)



Wen es interessiert, das 'Spielchen' geht scheinbar tatsächlich weiter...

Folgendes tickerte mir gerade ins Postfach:
</font><blockquote>Zitat:</font><hr />In Auszügen:
...
The Trojan 'Mitglieder' then creates a thread 15 websites and opens a PHP page on one of those sites using certain parameters. The parameters include the IP address of the system, the port used for proxying, and the trojan's ID....

Es folgt eine Auflistung mehrerer Webseite, die der Trojaner zu kontaktieren versucht

...Finally, the trojan attempts to download a password-stealing trojan from one of 3 websites hard coded into its body. This trojan is a minor variant of PWSteal.Ldpinch (MCID 2176). As of this writing, the trojan is no longer available for download from the websites...Once the trojan is running, it allows remote users to relay email through a preconfigured port. This port will be 39999 by default.</font>[/QUOTE]tschööö, DerBilk
__________________
--> Wurm W32.Bagle kursiert (Heise)

Alt 21.01.2004, 09:39   #7
Lutz
 

Wurm W32.Bagle kursiert (Heise) - Beitrag

Wurm W32.Bagle kursiert (Heise)



... immerhin bin ich scheinbar nicht der Einzige, der die 'paranoide' Wahnvorstellung hat, hinter Bagle könnte noch mehr stecken: http://www.spiegel.de/netzwelt/techn...282649,00.html

tschööö, DerBilk
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 21.01.2004, 10:24   #8
Jessy
 
Wurm W32.Bagle kursiert (Heise) - Icon27

Wurm W32.Bagle kursiert (Heise)



Wir hatten den Virus leider in der Fa. aktiv - er kam am Montag gegen 13 Uhr rein und die Virenscanner waren da leider noch nicht mit dem neuen Datfile versorgt, da es da am Sonntag zu Problemen kam.

Natürlich leider haben die DAUs hier nichts besseres zu tun als auf die exe zu clicken und den Virus zu aktivieren. Ich habe diverse PCs an denen er Gestern schon gelöscht wurde, heute jedoch wieder aufgetaucht ist. Ich dachte er verbreitet sich nur indem man die Exe anclickt, kann es sein dass er sich auch irgendwie über Ports verbreiten will??

CU
J.

Antwort

Themen zu Wurm W32.Bagle kursiert (Heise)
.exe, aktuelle, alert, banke, banken, beendet, boot, datei, e-mail, handel, infektion, infizierte, knapp, mail-wurm, mcafee, micro, namen, network, neuer, nicht, port, scan, scanner, server, signaturen, startet, symantec, trend, trend micro, wurm, würmern, öffnet



Ähnliche Themen: Wurm W32.Bagle kursiert (Heise)


  1. Stagefright-Lücken: Proof-of-Concept kursiert im Netz, Lage für Android-Nutzer spitzt sich zu
    Nachrichten - 04.08.2015 (0)
  2. heise netzwerkcheck
    Diskussionsforum - 06.04.2014 (2)
  3. Bagle Wurm was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 12.10.2011 (5)
  4. Win32 keine zulässige Anwendung - 0Byte Dateien Bagle Wurm? Was soll ich tun?
    Log-Analyse und Auswertung - 28.12.2009 (7)
  5. Schnell und sicher downloaden von heise.de
    Nachrichten - 11.12.2009 (0)
  6. Wie gefährlich sind "I-Worm.Bagle.AAKP","Trojan.DL.Bagle.ABWF","Bagle.Gen 21"
    Plagegeister aller Art und deren Bekämpfung - 31.10.2009 (1)
  7. Trojan-Downloader.Bagle und E-mail-Worm.Bagle
    Log-Analyse und Auswertung - 24.03.2008 (7)
  8. Wurm Bagle !! HIlfe ""
    Log-Analyse und Auswertung - 25.08.2007 (2)
  9. TR/Dldr.Bagle.GX + WORM/Bagle.GY.1 - Internet funktioniert nicht mehr richtig
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (6)
  10. Later-Tool von heise...
    Antiviren-, Firewall- und andere Schutzprogramme - 12.05.2005 (1)
  11. Neuer Windows-Wurm Bagle.Q nutzt Lücke im Internet Explorer aus
    Plagegeister aller Art und deren Bekämpfung - 18.03.2004 (1)
  12. Bagle.B: Email-Wurm mit BackDoor (itw)
    Plagegeister aller Art und deren Bekämpfung - 17.02.2004 (0)
  13. ein Trojaner auf Heise.de
    Plagegeister aller Art und deren Bekämpfung - 07.02.2004 (7)
  14. Heise und AOL gehen gegen Spammer vor
    Überwachung, Datenschutz und Spam - 18.04.2003 (4)
  15. Spam von Heise.de/C'T -GEFÄLSCHT!
    Überwachung, Datenschutz und Spam - 10.02.2003 (1)

Zum Thema Wurm W32.Bagle kursiert (Heise) - Vom Heise-Ticker: "Wurm W32.Bagle kursiert [-] Ein neuer Wurm treibt seit kurzem sein Unwesen: W32.Bagle kommt wie viele andere Computerschädlinge auch per E-Mail ins Haus, versucht sich über seine eigene - Wurm W32.Bagle kursiert (Heise)...
Archiv
Du betrachtest: Wurm W32.Bagle kursiert (Heise) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.