Worm Bagle ... Virenwarnung

[georg]

Ich mach sowas normalerweise nicht, aber wenn sogar die seltensten benutzten Accounts Viren bekommen, dann hats da was..

Nochmal ein genereller Hinweis:
KEIN PROVIDER VERLANGT, DASS MAN EINEN EMAIL ANHANG ÖFFNEN MUSS UM EINE NACHRICHT VOM IHM ZU LESEN!!

Worm/Bagle.J hat eine Dateigröße von 12.288 Bytes. Wird dieser ausgeführt, kopiert er sich in das Windows System Verzeichnis unter folgendem Dateinamen:

* IRUN4.EXE

und erstellt folgende Datei, ebenfalls im Windows System Verzeichnis

* IRUN4.EXEOPEN (ZIP Datei ~13KB)

um sich über die Tauschbörsen zu verbreiten kopiert er sich unter folgenden Dateinamen in alle Verzeichnisse die den Textstring "shar" enthalten:

* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Ahead Nero 7.exe
* Matrix 3 Revolution English Subtitles.exe
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Office XP working Crack, Keygen.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Opera 8 New!.exe
* Porno pics arhive, xxx.exe
* Porno Screensaver.scr
* Porno, sex, oral, anal cool, awesome!!.exe
* Serials.txt.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* WinAmp 6 New!.exe
* Windown Longhorn Beta Leak.exe
* Windows Sourcecode update.doc.exe
* XXX hardcore images.exe


Der Wurm durchsucht folgende Dateien nach Email-Adressen und versendet sich an diese. Hierbei fälscht er die Absenderadresse:

* .adb
* .asp
* .cfg
* .cgi
* .dbx
* .eml
* .htm
* .mdx
* .mmf
* .msg
* .nch
* .ods
* .php
* .pl
* .sht
* .tbb
* .txt
* .uin
* .wab
* .xml

Kommt eine der folgenden Textstrings in der Email-Adresse vor wird keine Email verschickt.

* @avp
* @hotmail.com
* @microsoft
* @msn.com
* local
* noreply
* postmaster@
* root@


Eine Email von Worm/Bagle.J kann folgendes Aussehen haben:

Subjekt:

* Important notify about your e-mail account.
* Email account utilization warning.
* Notify about using the e-mail account.
* E-mail account security warning.
* E-mail account disabling warning.
* Notify about your e-mail account utilization.
* Warning about your e-mail account.

Body:

* Dear user of <user's domain>
* Dear user of e-mail server "<user's domain>"
* Dear user of "<user's domain>" mailing system
* Dear user of <user's domain> gateway e-mail server
* Dear user, the management of <user's domain> mailing system wants to let you know that
* Hello user of <user's domain> e-mail server

gefolgt von:

* Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.
* Your e-mail account has been temporary disabled because of unauthorized access.
* Our main mailing server will be temporary unavaible for next two days,
to continue receiving mail in these days you have to configure our free
auto-forwarding service.
Last line of the body is one of the following:
* Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computer software.
* We warn you about some attacks on your e-mail account. Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.
* Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.
* Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.

gefolgt von:

* Advanced details can be found in attached file.
* For details see the attach.
* For details see the attached file.
* For further details see the attach.
* For more information see the attached file.
* Further details can be obtained from attached file.
* Pay attention on attached file.
* Please, read the attach for further details.

gefolgt von:

* Best wishes,
* Cheers,
* Have a good day,
* Kind regards,
* Sincerely,
* The Management,

gefolgt von:

* The <user's domain> team http://www.<user's domain>

Attachement:

* Info
* TextDocument
* Message
* TextFile
* Readme
* Document
* Attach
* Information

mit einer der folgenden Endungen: .exe, .pif, .zip



Außerdem werden folgende Einträge in der Windows-Registry angelegt:

* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ssate.exe"="C:\\WINDOWS\\System32\\irun4.exe"

* [HKEY_CURRENT_USER\Software\DateTime]
"<zufällige Zahl>"=dword:00000001



Es wird nach folgenden laufenden Prozessen gesucht und wenn gefunden werden diese beendet:

* ATUPDATER.EXE
* ATUPDATER.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVLTMAIN.EXE
* AVPUPD.EXE
* AVWUPD32.EXE
* AVXQUAR.EXE
* CFIAUDIT.EXE
* DRWEBUPW.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* LUALL.EXE
* MCUPDATE.EXE
* NUPGRADE.EXE
* NUPGRADE.EXE
* OUTPOS1T.EXE
* UPDATE.EXE


Der Wurm ruft eine der folgenden Webseiten auf:

* http://postertog.de/scr.php
* http://www.gfotxt.net/scr.php
* http://www.maiklibis.de/scr.php



Worm/Bagle.J enthält eine Backdoor-Komponente, die auf Port 2745 der infizierten Maschine auf Anweisungen wartet.

Quelle: http://www.antivir.de