PeeWees Quizzer- & Spiele-Forum Foren-Übersicht ForumSpieleEM-Tipp
 FAQ  Regeln/Infos  Suchen  Mitgliederliste  Benutzergruppen  Kalender 
 Profil  Einloggen, um private Nachrichten zu lesen  Login  Registrieren 

Virenalarm: W32/Bagle

 
Neues Thema eröffnen   Neue Antwort erstellen    PeeWees Quizzer- & Spiele-Forum Foren-Übersicht -> Viren, Würmer, etc.
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
PeeWee
Administrator
Administrator


Geschlecht: Geschlecht:weiblich
Sternzeichen: Krebs
Dabei seit: 19.06.2003
Beiträge: 4260
Wohnort: Süd-SH

BeitragVerfasst am: Di, 24.02.04 - 12:25    Titel: Virenalarm: W32/Bagle Antworten mit Zitat Beitrag dem Moderator/Admin melden

Vorsicht: Wurm öffnet Hintertür auf dem PC
Quelle: www.heise.de / www.pcwelt.de

Er heißt Bagle, nervt gewaltig - und ist nicht ganz ungefährlich. Denn bei Bagle handelt es sich im einen neuen Internet-Wurm, der sich derzeit lawinenartig durch das Internet fortbewegt und zusätzlich einen infizierten Rechner für eine Hacker-Attacke anfällig macht.

Bagle kommt via Mail zum Anwender. Die Absenderangabe kann variieren und unter Umständen vorgeben, von einem bekannten Absender zu stammen. Die Betreffzeile enthält ein nichts sagendes 'Hi', der eigentliche Mailtext besteht aus 'Test =)' und einer beliebigen Anzahl von Zeichen. Am Ende des Textes steht noch ein '-- Test, yep'. Der Wurm verbirgt sich in der angehängten Datei, die einen zufälligen Namen trägt, rund 16 Kilobytes groß ist und das Symbol des Windows-Taschenrechners besitzt.

Falls diese Datei und damit der Wurm mit einem doppelten Mausklick gestartet wird, öffnet sich der Taschenrechner von Windows, während sich der Wurm im Hintergrund ins System kopiert. Allerdings nur, wenn die Systemzeit des infizierten Rechners nicht der 28. Januar 2004 oder später ist. Dann nämlich passiert gar nichts, der Wurm schaltet sich wieder ab.

Der Schädling durchsucht Dateien nach E-Mail-Adressen und verschickt sich an diese, um sich weiterzuverbreiten. Das ist aber noch nicht alles: Über Port 6777 versucht der Schädling Verbindung zu verschiedenen Internetseiten aufzubauen. Dadurch könnte ein Angreifer Zugriff auf den betroffenen PC bekommen.

Eine detaillierte Beschreibung, Entfernungsanleitungen und ein kostenloses Removal-Tool zum automatischen Entfernen gibt's bei Antivir.
Nach oben
PeeWee ist zurzeit offline  Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen Skype Name
BAKRITHO
Foren-Chef
Foren-Chef


Geschlecht: Geschlecht:weiblich
Sternzeichen: Schütze
Dabei seit: 25.06.2003
Beiträge: 305
Wohnort: Traben-Trarbach

BeitragVerfasst am: Di, 24.02.04 - 12:26    Titel: Antworten mit Zitat Beitrag dem Moderator/Admin melden

Hallo Petra,
ich finde es ganz toll wie aktuell du uns immer über neue Viren informierst.
Genau so eine Mail wie du beschrieben hast mit Betreff: Hi erhielten wir heute auf unseren PC's im Büro. Allerdings im Posteingang als "unzustellbare Mail" wegen der Anlage .exe.
Da bei unserem Server eine Firewall vorgeschaltet ist, werden alle Viren vorher entfernt - so wurde es mir auf jeden Fall erklärt. Wenn ich bei so einer Mail aus Versehen wirklich mal die Anlage öffne steht dort nur "Virus gefunden und entfernt" oder so ähnlich.
Ich habe heute nur nicht verstanden, ob die Mail von unseren PC's verschickt wurde oder uns zugestellt werden sollte. Der Absender war uns auf jeden Fall bekannt - ein Hotel das sowohl in unserem Adressverzeichnis ist wie auch umgekehrt wir bei denen.
Aufgrund deiner Beschreibung werde ich mich dann morgen mal darum kümmern.

Vielen Dank und viele Grüße

Barbara
Nach oben
BAKRITHO ist zurzeit offline  Benutzer-Profile anzeigen Private Nachricht senden MSN Messenger
PeeWee
Administrator
Administrator


Geschlecht: Geschlecht:weiblich
Sternzeichen: Krebs
Dabei seit: 19.06.2003
Beiträge: 4260
Wohnort: Süd-SH

BeitragVerfasst am: Di, 24.02.04 - 12:26    Titel: Antworten mit Zitat Beitrag dem Moderator/Admin melden

Nachfolger des Bagle-Wurms verbreitet sich rasant
Quelle: www.heise.de / www.pcwelt.de

Wie die Hersteller von Antiviren-Software berichten, verbreitet sich seit gestern ein Nachfolger des Wurms Bagle besonders schnell im Internet, der ebenfalls eine Hintertür auf befallenen Systemen öffnet. Der Wurm-Code steckt dabei in einem Anhang, der in vielen E-Mail-Clients als Audio-Datei angezeigt wird, was offenbar viele Anwender dazu verleitet, den betreffenden Wurm-Anhang zu öffnen.

Der Wurm Bagle.B trägt eine gefälschte Absenderadresse, ist aber an der Betreffzeile mit dem Muster "ID [zufällige Buchstabenfolge]... thanks" zu erkennen. Der Wurm-Code befindet sich in einer an die E-Mail angehängten exe-Datei mit wechselndem Namen, die dem Icon nach dem Windows Sound Recorder zugeordnet ist. Mit dieser Tarnung versucht der Wurm Anwender dazu zu bewegen, den Wurm manuell zu öffnen. Im Nachrichtentext steht "Yours ID" gefolgt von einer zufälligen Buchstabenreihenfolge sowie einem abschließenden "Thank".

Wird der Anhang geöffnet, legt sich der Unhold in Form der Datei au.exe im Windows-System-Verzeichnis ab und trägt sich so ein, dass er bei jedem Windows-Start geladen wird. Der Bagle-Wurm öffnet nach außen den Port 8866, worüber ein Angreifer Zugang zu dem betreffenden System erlangt.

Zur Verbreitung durchsucht Bagle.B alle Dateien auf dem befallenen Rechner nach E-Mail-Adressen und versendet sich selbständig an diese. Am 25. Februar 2004 stellt der Wurm Bagle.B seine Aktivitäten ein und versendet sich nicht mehr weiter.

Eine detaillierte Beschreibung und Entfernungsanleitung gibt's bei Antivir. Symantec bietet ein kostenloses Removal-Tool an (http://securityresponse.symantec.com/avcenter/FxBeagle.exe).
Nach oben
PeeWee ist zurzeit offline  Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen Skype Name
rezimaus
Henne im Korb
Foren-King


Geschlecht: Geschlecht:weiblich
Sternzeichen: Stier
Dabei seit: 05.02.2004
Beiträge: 902
Wohnort: Heilbronn

BeitragVerfasst am: Di, 24.02.04 - 12:27    Titel: Antworten mit Zitat Beitrag dem Moderator/Admin melden

Diesen Netten Wurm hat mein Mann gestern auch bekommen und netterweise auf meinem rechner abgefragt.
Zum Glück ist er nicht so doof ihn zu öffnen (sonst hätt ich ihn erschlagen *gg*)
Es lies sich schon anhand des Textes erkennen das es sich nicht um eine 'normale' Mail handelt denn der Absender war sein bester Freund und der gehört zu den Menschen die diese Anhänge warscheinlich öffnen würden.

Hier mal der Text:

Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.

bei dir ist der trojaner services.exe am wüten. deshalb kann
jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!

dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,
meld dich einfach.

LG Dani
Nach oben
rezimaus ist zurzeit offline  Benutzer-Profile anzeigen Private Nachricht senden AIM-Name MSN Messenger
PeeWee
Administrator
Administrator


Geschlecht: Geschlecht:weiblich
Sternzeichen: Krebs
Dabei seit: 19.06.2003
Beiträge: 4260
Wohnort: Süd-SH

BeitragVerfasst am: Di, 24.02.04 - 12:28    Titel: Antworten mit Zitat Beitrag dem Moderator/Admin melden

@rezimaus

Hmmm, bei dem von dir beschriebenen Virus handelt es sich nicht um Bagle, sondern um Sober (siehe Thread Sober).

Und auch auf die Gefahr hin, dass ich mich wiederhole:

Anhand der Absenderadresse lässt sich NICHT erkennen, von wem die Mail wirklich kommt, da diese in der Regel vom Virus/Wurm gefälscht werden!
Nach oben
PeeWee ist zurzeit offline  Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen Skype Name
MumLil
Häsin für alle Fälle
Big King


Geschlecht: Geschlecht:weiblich
Sternzeichen: Jungfrau
Dabei seit: 22.06.2003
Beiträge: 1323
Wohnort: Bad Friedrichshall Landkreis Heilbronn, Baden-Württemberg

BeitragVerfasst am: Di, 24.02.04 - 12:28    Titel: Antworten mit Zitat Beitrag dem Moderator/Admin melden

Meine Kinder hatten auf ihrem PC jetzt auch gleich 2-mal Sober drauf und außerdem noch nen Trojaner.
Ich wurde allerdings vor kurzem von nem ehemaligen Quiz-Freund, mit dem ich ab und an noch telefoniere, darauf hingewiesen, dass diese Dinger sich in erster Linie einschleichen können, wenn man mit dem Outlook arbeitet. Und da ich das auf meinem PC nicht tue, hatte ich bisher (toi, toi, toi)noch keine Viren-Probleme.
Ich hatte die Kinder zwar wieder und wieder gewarnt, irgendwelche Anhänge zu öffnen, aber was gilt schon das Wort einer Mutter? Rolling EyesRolling Eyes
Nach oben
MumLil ist zurzeit offline  Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
rezimaus
Henne im Korb
Foren-King


Geschlecht: Geschlecht:weiblich
Sternzeichen: Stier
Dabei seit: 05.02.2004
Beiträge: 902
Wohnort: Heilbronn

BeitragVerfasst am: Di, 24.02.04 - 12:29    Titel: Antworten mit Zitat Beitrag dem Moderator/Admin melden

@Petra

ich weiß ja das der nicht von dem kam von dem es drauf stand.

Und mein Vierenscanner hat den nicht als Sober erkannt alle andern von meinem Mann hat er immer als Sober erkannt der war anders als schein ja dann noch einer im Umlauf zu sein.

lg Dani
Nach oben
rezimaus ist zurzeit offline  Benutzer-Profile anzeigen Private Nachricht senden AIM-Name MSN Messenger
PeeWee
Administrator
Administrator


Geschlecht: Geschlecht:weiblich
Sternzeichen: Krebs
Dabei seit: 19.06.2003
Beiträge: 4260
Wohnort: Süd-SH

BeitragVerfasst am: Di, 24.02.04 - 12:29    Titel: Antworten mit Zitat Beitrag dem Moderator/Admin melden

@Dani
Keine Ahnung, warum der Scanner den Virus nicht als Sober erkannt hat, denn er ist es definitiv. Aber Hauptsache ist ja auch, dass ihr ihn nicht 'aktiviert' habt. Wink

@Lilly
Bei Viren, die sich als Mail-Anhang verbreiten, ist es eigentlich wurscht, welches Mailprogramm (Outlook et.) man benutzt, da sie immer erst dann 'loslegen', wenn man den Anhang öffnet. Ansonsten hat dein Quiz-Freund völlig recht - bei Outlook/Outlook Express muß man besonders auf der Hut sein.
Nach oben
PeeWee ist zurzeit offline  Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen Skype Name
PeeWee
Administrator
Administrator


Geschlecht: Geschlecht:weiblich
Sternzeichen: Krebs
Dabei seit: 19.06.2003
Beiträge: 4260
Wohnort: Süd-SH

BeitragVerfasst am: Sa, 06.03.04 - 17:27    Titel: Antworten mit Zitat Beitrag dem Moderator/Admin melden

Der Wurm Bagle-K, einer der jüngeren Sprösslinge der bereits zu zweifelhaftem Ruhm gelangten Bagle-Familie, sorgt derzeit für erhöhtes Anfrageaufkommen in der Mailbox des GMX-Support-Teams. Der Wurm kommt diesmal im GMX-Schafspelz daher. Die getarnten Würmer sehen dann, unter Beibehaltung enthaltener Fehler, zum Beispiel so aus:

"Hello user of Gmx.de e-mail server,

Our main mailing server will be temporary unavaible for next two
days, to continue receiving mail in these days you have to
configure our free auto-forwarding service.

Further details can be obtained from attached file.

Kind regards,
The Gmx.de team"

Oder auch so:

"Hello user of Gmx.net e-mail server,

Our antivirus software has detected a large ammount of viruses
outgoing from your email account, you may use our free
anti-virus tool to clean up your computer software.

For details see the attach.

Attached file protected with the password for security reasons.
Password is 88504.

The Management,
The Gmx.net team"


Diese sonderbaren Warnungen stammen NICHT von GMX. Bagle-K bedient sich eines ebenso einfachen wie wirkungsvollen Tricks und setzt in den e-mail-Text beim Versenden an geeigneter Stelle die Domain des e-mail-Dienstes der Empfängeradresse ein - ganz ähnlich wie bei einem Serienbrief.

Wenn ihr also eine solche e-mail erhalten sollten: Den Dateianhang bitte keinesfalls öffnen, anklicken oder ausführen!

_______________________
Quelle: GMX Virenreport
Nach oben
PeeWee ist zurzeit offline  Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen Skype Name
PeeWee
Administrator
Administrator


Geschlecht: Geschlecht:weiblich
Sternzeichen: Krebs
Dabei seit: 19.06.2003
Beiträge: 4260
Wohnort: Süd-SH

BeitragVerfasst am: Mi, 17.03.04 - 13:25    Titel: Antworten mit Zitat Beitrag dem Moderator/Admin melden

Weitere Bagle-Variante (Bagle.N bzw. Bagle.M) mit neuen 'Tricks' im Umlauf
Quelle: www.heise.de

Der Schädling bringt neue Methoden mit, um den Virenscannern die Arbeit zu erschweren. Er verbreitet sich sowohl über die Tauschbörse Kazaa als auch via E-Mail und verwendet dabei verschiedene englischsprachige Texte, die den Anwender dazu verleiten sollen, den Anhang auszuführen. Führt der Anwender die infizierte Datei oder den Mail-Anhang aus, öffnet Bagle.N eine Hintertür auf Port 2556 und versucht, diverse Virenscanner und Personal Firewalls abzuschießen.

Zusätzlich ist Bagle.N einer der wenigen modernen Schädlinge, die tatsächlich der Bezeichnung Virus gerecht werden, denn neben den üblichen Dateien, die der Schädling bei Infektion des Systems hinterlegt, infiziert die neue Variante auch ausführbare Dateien. Das bedeutet einerseits, dass bei einer Infektion des Systems auch gleich alle installierten Programme betroffen sind. Andererseits verwendet der Schädling eine polymorphe (also sich stets ändernde) Verschlüsselung, wenn er exe-Dateien befällt, was die Erkennung durch Virenscanner kniffliger macht.

Eine detaillierte Beschreibung findet ihr hier beim BSI (ganz unten auf der Seite gibt's auch Links zu Entfernungstools von NAI und Symantec)
Nach oben
PeeWee ist zurzeit offline  Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen Skype Name
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    PeeWees Quizzer- & Spiele-Forum Foren-Übersicht -> Viren, Würmer, etc. Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.

Impressum


Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de