Aktuelle Viren warnungen

[hisch]

Beagle-Wurm: Neue Variante im Umlauf

Dringende Warnung: Der Wurm "Beagle.AB" verbreitet sich im Internet. Im Gegensatz zu den meisten seiner Vorgänger richtet der neue Bösewicht echten Schaden an. Um ungestört seiner Arbeit nachgehen zu können, zerstört das Virus laufende Software-Firewalls oder andere Sicherheits-Software. Zudem öffnet der Wurm eine Hintertür, worüber ein Angreifer ein infiziertes System als eMail-Versender missbrauchen kann, um darüber etwa Spam zu versenden.

Beagle-Wurm erfolgreich abwehren
Die Hersteller von Virenscannern bieten bereits aktualisierte Signaturdateien zur Erkennung von Beagle.AB an. Mit den Tools von Symantec und McAfee lässt sich außerdem nachprüfen, ob das System mit Beagle.AB befallen ist - gegebenenfalls beseitigen die Programme den Wurm.

Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!

Mit dem Symantec Beagle Removal Tool lässt sich nachprüfen, ob das System vom Bagle- bzw. Beagle-Wurm befallen ist (Varianten A bis K, U, W/X/Y/Z und AB). Falls dies der Fall ist, kann der Virus gelöscht werden.

"Beagle/Bagle" kommt wie viele andere Computerschädlinge per eMail ins Haus, versucht sich möglichst schnell weiterzuverbreiten und öffnet eine Hintertür in infizierte Systeme. Der Wurm verschickt eMails, wobei er das Sender-Feld fälscht. Die elektronische Post kann daher leicht den Anschein haben, von einem Bekannten zu stammen. Den Herstellern von Virenschutz-Software zufolge enthält "Beagle" eine Spionage-Komponente, die infizierte PCs automatisch bei Hacker-Systemen meldet. Weitergegeben werden Daten über den infizierten Rechner. Außerdem könnte der Wurm versuchen, den Download einer Trojaner-Komponente zu starten. Das kann schlimmstenfalls auch zum Ausspionieren von Passwörtern führen.

Dateigröße:
152 kB


Downloads bisher:
134.722


Uploaddatum:
16.07.2004

[hisch]

Variante Bagle.AI
Alias: Beagle.AI

Erstes Auftreten: Juli 2004


Die Variante Bagle.AI verschickt sich in variablen E-Mails, kann sich aber auch via Peer-To-Peer ausbreiten.

Wird der Wurm aufgerufen, kopiert er sich unter dem Namen

sys_xp.exe

in das Windows-System-Verzeichnis und trägt ein Startup Key in die Registry ein:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"key" = "%SystemDir%\winxp.exe"

wobei %WinSysDir% für den Namen des Windows-System-Verzeichnisses steht.

Wenn der Wurm im Speicher aktiv ist, erneuert er seinen Startup Key in der Registry zehn mal pro Sekunde.

Zusätzlich legt der Wurm im gleichen Verzeichnis zwei weitere Dateien an:

winxp.exeopen
winxp.exeopenopen

Diese Dateien werden verwendet, wenn sich der Wurm per E-Mail weiterverschickt
Bagle.AI verschickt sich in E-Mails mit zufällig ausgewähltem Subjects, Body und Namen des Attachments.

Der Wurm hängt eine Kopie von sich als ausführbares Attachment mit der Extension COM, EXE, SCR oder CPL an die Mail. Er kann sich aber auch in einem passwortgeschützten ZIP-Archiv befinden.

Breitet sich der Wurm über eine CPL-Datei aus, wird am Anfang des Wurm-Codes ein kleiner binärer Dropper hinzugefügt. Wird die CPL-Datei aktiviert, kopiert sie sich unter dem Namen

re_file.exe

Backdoor
Der Wurm hat eine Backdoor, die den Port 1080 überwacht. Der Code der Backdoor ist passwort-verschlüsselt. Der Wurm-Autor, der das Passwort kennt, kann sich mit dem Computer verbinden und beliebige Prozesse ausführen. Infizierte Rechner werden dem Autoren des Wurms über verschiedene vordefinierte URLs gemeldet
Der Wurm beendet Prozesse von Sicherheits- und Anti-Viren-Programmen:

[hisch]

MyDoom: Rückkehr eines gefährlichen Plagegeistes

Sicherheitsexperten geben Großalarm: Eine neue Variante des berüchtigten "MyDoom"-Virus verbreitet sich mit rasanter Geschwindigkeit im Internet. Einmal im System, öffnet er sogleich eine Hintertür - und der befallene Rechner ist weiteren Attacken schutzlos ausgeliefert. Zusätzlich missbraucht der Schädling alle gekaperten Systeme, um Suchmaschinen wie "Google" zu blockieren, indem er sie mit Abfragen nach eMail-Adressen bombardiert.
Gefährlicher Massenmailer
Die M-Variante des "MyDoom"-Wurms ist wie seine Vorgänger (A-L) als Massenmailer mit gefälschter Absenderadresse aufgebaut. Er verbreitet sich ausschließlich über infizierte eMail-Anhänge. Unter wechselnden Namen kann es sich dabei um ein exe, cmd, scr, bat, com, pif oder zip-Erweiterung handeln. Durch die Ausführung des Wurm-Anhangs wird ein Computer infiziert.


Angebliche Warnung vor Spam-Missbrauch
Damit der Empfänger den Anhang ausführt, bedient sich "MyDoom.M" aus einem Pool verschiedener Textbausteine. Diese werden immer wieder neu zusammengesetzt. Bekannt sind zum Beispiel Nachrichtentexte, die den Nutzer auf den angeblichen Missbrauch seines PCs durch Spam-Versender hinweisen oder sich als Unzustellbarkeitsmeldung des Mailservers ausgeben.
Internetsuche nach neuen eMail-Adressen
Einmal an Bord, holt sich der virtuelle Schädling neue Empfängeranschriften aus dem Windows-Adressbuch sowie allen auf dem Rechner abgelegten Text- und HTML-Dateien. Zusätzlich öffnet der Wurm in der Netzwerkverbindung einen Port. Über diese Schnittstelle könnte ein Angreifer später weitere unerwünschte Software in den PC einschleusen oder ihn für kriminelle Aktivitäten missbrauchen (zum Beispiel Keylogger und DoS-Attacken). Mit Hilfe einer Internetabfrage kontaktiert "MyDoom" außerdem bekannte Suchmaschinen, um weitere eMail-Adressen für seine Verbreitung zu gewinnen.


Eingehende Mails genau überprüfen
Neben den rein technischen Schutzmaßnahmen leistet das richtige und aufmerksame Verhalten der Anwender einen wichtigen Beitrag zur PC-Sicherheit: Öffnen Sie nicht blindlings eMail-Anhänge oder fremde Dateien. Gerade Würmer aus der "MyDoom"-Familie kommen immer wieder mit neuen Texten und Tarn-Mechanismen daher. Achten Sie immer auf aktuelle Viren-Signaturen. Auch das beste Schutzprogramm versagt, wenn die für die Erkennung zuständige Signatur-Datei veraltet ist.

Bestehende Schutzwälle ausbauen
Oftmals reicht ein Antivirus-Programm allein nicht mehr aus, um den PC ausreichend und wirkungsvoll gegen Angriffe zu schützen. Angefangen von hinterlassenen Surfspuren über Passwort-Spionage bis hin zu unerwünschten Werbemails - die Angriffsmöglichkeiten sind vielseitig.

[hisch]

Variante Zindos.A
Erstes Auftreten: 27.07.2004


Zindos.A benutzt für seine Ausbreitung die Liste verwundbarer Systeme, die vom Backdoor, das von Mydoom.M implantiert wurde.

Zindos.A wird zunächst durch das von Mydoom.M implantierte Backdoor importiert. Nach dem Laden des Wurms wird sein Code unter einem zufällig gewählten Namen in das TEMP Verzeichnis kopiert. In die Registry wird entweder

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Tray" = "%TEMP%\.exe"

oder

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Tray" = "%TEMP%\.exe"

eingetragen.

Zindos benutzt für seine Ausbreitung die vom Backdoor gesammelten URLs infizierter Systeme und übertragt seinen Code auf verwundbare Systeme mit Hilfe des Backdoors.

Schadfunktion

Zindos führt DoS-Angriffe auf

Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!

aus indem er in einer unendlichen Schleife mit Verzögerungen von 50 ms die Microsoft Startseite holt.

[hisch]

Variante Mydoom.S
Alias: Farex.A

Erstes Auftreten: 16.08.2004

Länge: 27136


Die neue Variante Mydoom.S wurde das erste Mal am 16.08.2004 gefunden. Der Wurm verbreitet sich wie die vorherigen Varianten.

Der Programm-Code wurde mit UPX komprimiert und ist 27136 Byte lang. Die dekomprimierte Länge des Wurm ist etwa 53 KByte.

Der Wurm versucht von verschiedenen Adressen eine ausführbare Datei zu laden.

Er kopiert sich unter dem Namen

winpsd.exe

in das Windows System-Verzeichnis und trägt den Aufruf

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winpsd.exe" = "%WinSysDir%\winpsd.exe"

in die Registry ein.

Der Wurm generiert ein Mutex

43jfds93872

Schadfunktion:
Der Wurm manipuliert die hosts - Datei auf dem Rechner, um zu verhindern, dass Web-Seiten von Anti-Virus-Herstellern zugegriffen werden können.