Aktuelle Viren warnungen

[hisch]

Variante Bagle.AS
Alias: Bagle.AM, Beagle.AR, Bagle.AZ

Erstes Auftreten: September 2004


Bagle.AS wurde weit verteilt. Er erreicht das System per E-Mail mit einem Attachment mit der Endung EXE, CPL, SCR oder COM.

Der Wurm enthält eine Backdoor, die den TCP Port 81 sowie den UDP Port überwacht. Bagle.AS verbreitet sich auch über Peer-to-Peer.

Die E-Mail von Bagle.AS haben eines der folgenden Subjects:

Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks
Re:
Wird der Wurm aufgerufen, erstellt er einen Mutex und erzeugt folgende Dateien:

%windir%\cjector.exe
%windir%\system32\bawindo.exe
%windir%\system32\bawindo.exeopen
%windir%\system32\bawindo.exeopenopen

und erstellt einen Registry-Schlüssel unter

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\bawindo

mit dem Wert

%windir%\system32\bawindo.exe
Falls vorhanden, löscht Bagle.AS folgende Registry-Einträge:

9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
My AV
MyInfo
NetDy
NortonAntivirus AV
PandaAVEngine
service
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client EX

aus diesen Registry-Schlüsseln:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
quell percomp

[hisch]

PWSteal.Bancos.M

Type: Trojan Horse
Infection Length: 56,832 bytes



Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Systems Not Affected: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX
Creates the following copy of itself:

%System%\msnload32.exe.

Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

Adds the value:

"msnload32.exe" = "%System%\msnload32.exe"

to the registry entry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

so that the Trojan is executed every time Windows starts.

quelle Sympatec

Meine meinung:
jetzt ist das neue antivir 2005 drausen und diess teil lässt sich nur mit 2005 oder später entfernen sehr sehr komisch ist doch letztes jahr dasselbe gewesen so verkaufe ich auch meine software indem ich sie unumgänlich mache oder (selber viren in umlauf schicke )wie gesagt das ist meine meinung dazu

[hisch]

Variante Bacros.A
Bacros.A wurde das erste Mal Anfang September 2004 gefunden.

Der Virus wurde in Borland Deplhi geschrieben und hat eine Größe von 356352 Bytes.

Wird Bacros.A aufgerufen, erstellt er drei Kopien von sich im Windows-System-Verzeichnis:

msdosdrv.exe
mssys.exe
sys.exe

und trägt folgende Aufrufe in die Registry ein:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"MSSys" = "%WinSysDir%\mssys.exe -d"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MSDosdrv" = "%WinSysDir%\msdosdrv.exe -t"

Der Virus zeigt eine Textdatei an, die mehrfach den Dateinamen des Virus enthält.

Wird Bacros.A mit dem Kommandozeilenparameter "-t" aufgerufen, erstellt der Virus ein Word-Document:

WordInfo.doc

im System-Ordner sowie im Dokumentenverzeichnis des Benutzers.

Wird Bacros.A am 10., 20. oder 30. eines Monats mit dem Kommandozeilenparameter "-d" aufgerufen, versucht das Programm die Datei "WordInfo.doc" im System-Ordner zu öffnen. Dieses Dokument enthält ein VBA-Makro, das versucht, den Virus auf eine Diskette zu kopieren. An jedem anderen Tag versucht er sich unter dem Namen

ReadMy.exe

auf CD-R zu schreiben. Er erstellt dort auch eine Datei

Autorun.inf

damit die Datei automatisch ausgeführt wird.

Wird Bacros.A am 2. eines Monats mit dem Kommandozeilenparameter "-d" aufgerufen, durchsucht das Programm alle lokalen Platten und erstellt eine Kopie von sich mit dem Namen jeder gefundenen Textdatei (.txt).

Wird Bacros.A am 1. eines Monats mit dem Kommandozeilenparameter "-d" aufgerufen, durchsucht das Programm alle lokalen Platten und ersetzt alle gefundenen GIF-Dateien mit der Kopie einer kleinen GIF-Datei, die den Text

Kuole Jehova

zeigt.

Wird Bacros.A am 6. Dezember mit dem Kommandozeilenparameter "-d" aufgerufen, ersetzt das Programm das Hintergrundbild mit einem kleinen Bild der finnischen Flagge.

Wird Bacros.A am 25. Dezember mit dem Kommandozeilenparameter "-d" aufgerufen, löscht der Virus alle Dateien von den lokalen Festplatten.


quelle percomp

[hisch]

Variante Netsky.AF
Alias: Moodown.AF, Somefool.AF, NetSky, NetSky.AD.B, NetSky.AG

Erstes Auftreten: Oktober 2004



Netsky.AF verbreitet sich in E-Mails mit infizierten Dateianhängen als ZIP-Archiv oder ausführbare Datei und auf infizierten Systemen in Shared Verzeichnissen / lokalen Netzen. Er ist der Variante NetSky.B ähnlich.
Wird der Wurm gestartet, zeigt er eine Nachricht in einem Fenster an

Fail
File Corrupted replace this!!

OK

Er kopiert sich dann unter dem Namen

MsnMsgrs.exe

in das Windows-Verzeichnis und trägt einen Startup Key in die Registry ein:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MsnMsgr"
%WinDir%\MsnMsgrs.exe -alev

wobei %WinDir% für den Namen des Windows-Verzeichnis steht

quelle percomp

[hisch]

Bacros
Der Virus Bacros befällt ein lokales System, indem er für alle gefundenen Textdateien (.txt) je eine Kopie der Virusdatei (mit der Endung ".exe") erstellt. Er kann sich auch auf Disketten und CD-Rs kopieren.

Der Virus installiert eine Komponente als Makrovirus.

Beide Teile wurden konzipiert, zusammen zu arbeiten, aber dennoch können sich sowohl die binäre als auch die Makro-Komponente unabhängig voneinander replizieren.

quelle percomp