Aktuelle Viren Teil 2

[hisch]

Variante Bagle.AT
Alias: Beagle.AT

Erstes Auftreten: Oktober 2004


Der Wurm Bagle.AT wurde am 28. Oktober 2004 entdeckt.

Die Variante ähnelt vorherigen Varianten und verschickt E-Mails mit einem Smiley



als Body. Die Namen der Attachments beginnen mit

Price

oder

Joke

und haben die Extension COM, EXE, SCR oder CPL


Variante Bagle.AS

Alias: Bagle.AM, Beagle.AR, Bagle.AZ

Erstes Auftreten: September 2004


Bagle.AS wurde weit verteilt. Er erreicht das System per E-Mail mit einem Attachment mit der Endung EXE, CPL, SCR oder COM.

Der Wurm enthält eine Backdoor, die den TCP Port 81 sowie den UDP Port überwacht. Bagle.AS verbreitet sich auch über Peer-to-Peer.

Die E-Mail von Bagle.AS haben eines der folgenden Subjects:

Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks
Re:

Der Name des Attachments wird zusammengesetzt aus einem der Namen:

Price
price
Joke

und einer der folgenden Extensions:

.com
.cpl
.exe
.scr

Wird der Wurm aufgerufen, erstellt er einen Mutex und erzeugt folgende Dateien:

%windir%\cjector.exe
%windir%\system32\bawindo.exe
%windir%\system32\bawindo.exeopen
%windir%\system32\bawindo.exeopenopen

und erstellt einen Registry-Schlüssel unter

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\bawindo

mit dem Wert

%windir%\system32\bawindo.exe

quelle percomp

[hisch]

Neue MyDoom-Würmer nutzen Lücke im Internet Explorer [Update]
Der für den Buffer Overflow im Internet Explorer veröffentlichte Exploit ist offenbar bereits von Wurm-Programmierern adaptiert worden. McAfee warnt vor neuen Varianten des MyDoom-Wurms, die genau über diese Lücke in Systeme eindringen und dabei Teile des Exploit-Codes benutzen: MyDoom.AI und .AH. Obwohl die Würmer sich nicht selbst per Mail verbreiten, sind sie doch auf Mails angewiesen: Sie verschicken Nachrichten mit Links, die zu einer präparierten Webseite führen. Anzeige


Der Besuch der Seite mit Windows-Systemen kann fatale Folgen haben: Ist der Schädling eingedrungen, öffnet er eine Hintertür auf Port 1639 und nimmt dort Befehle entgegen. Zudem verbindet er sich zu diversen IRC-Servern. Nur in Windows XP mit Service Pack 2 ist der Buffer Overflow in Microsofts Browser bereits beseitigt, sodass der Wurm dort nicht eindringen kann.

Auch die anderen Hersteller von Antiviren-Software haben die neuen Schädlinge bereits auf ihrem Radar und wollen neue Signaturen herausgeben. McAfee hat sein Removal-Tool Stinger auf den neuesten Stand gebracht, sodass betroffene Anwender damit auf ihrem Rechner nach dem Wurm suchen und ihn beseitigen können.

Weitere Hinweise zum Schutz vor Viren und Würmern und zum sicheren Umgang mit E-Mail finden sie auf den Antiviren-Seiten von heise Security

quelle heise.de

[hisch]

Name: Aler
Der Wurm Aler wurde in Massen-Mails verbreitet, die das Subject

Latest News about Arafat!!!

trugen. Die Attachments waren eine JPEG-Datei und eine EMF-Datei die die EMF-Sicherheitslücke MS04-032 ausnutzt. Aler nutzt diese Sicherheitslücke allerdings nicht für seine Verbreitung aus

Der Wurm befällt Hosts mit schwachen Benutzer-Passwörtern.

Als Schadfunktion enthält der Wurm einen TCP Proxy Trojaner, der aus mehreren Komponenten besteht.

Der Wurm kopiert sich mit diesen Namen über ein Netzwerk:

ADMIN$\System32\Alerter.exe
ADMIN$\System32\Alerter16.exe


qoelle percomp

[Jazzy]

Variante Bagle.AT
Alias: Beagle.AT

Die E-Mail von Bagle.AS haben eines der folgenden Subjects:

Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks
Re:

Der Name des Attachments wird zusammengesetzt aus einem der Namen:

Price
price
Joke

und einer der folgenden Extensions:

.com
.cpl
.exe
.scr

Wird der Wurm aufgerufen, erstellt er einen Mutex und erzeugt folgende Dateien:

%windir%\cjector.exe
%windir%\system32\bawindo.exe
%windir%\system32\bawindo.exeopen
%windir%\system32\bawindo.exeopenopen

und erstellt einen Registry-Schlüssel unter

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\bawindo

mit dem Wert

%windir%\system32\bawindo.exe

quelle percomp

nur mal ne frage:
fängt der wurm schon an ärger zu machen wenn ich die mail öffne oder macht er erst ärger wenn ich den anhang öffne?

[hisch]

wenn der anhang geöffnet wird ist auch in bilder schon aufgetaucht die mit dem ie betrachtet werden