- This topic has 8 Antworten, 4 Stimmen, and was last updated 21:13 um 28. Januar 2005 by elli_pirally.
- AutorBeitrag
- 27. Januar 2005 um 16:36 #27150elli_pirallyParticipant
H+BEDV Datentechnik warnt vor neuer Migration
Tettnang (pte) – Der deutsche Antivirenspezialist H+BEDV Datentechnik http://www.antivir.de warnt alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 vor einer neuen Variante des Bagle-Wurms. \“Bagle.AX\“ verbreitet sich mit sehr hoher Geschwindigkeit via E-Mail- und P2P-Versand. Das Schadens- und Verbreitungspotenzial des Schädlings wird von den Virenexperten als extrem hoch eingeschätzt.
Der Wurm verbreitet sich über Peer-To-Peer (P2P)-Netzwerke und via E-Mail mit Hilfe seiner eigenen SMTP-Engine. Nach erfolgreicher Attacke durchsucht er die lokalen Festplatten und versendet sich umgehend an alle gefundenen Adressen. Beim Versenden sucht er auf dem System nach Verzeichnissen, die den Textstring \“SHAR\“ enthalten und kopiert sich in die jeweiligen Ordner. Bagle ist in der Lage verschiedene Prozesse wie Antiviren- und Firewall-Programme zu beenden und bestimmte Einträge in der Windows-Registry zu löschen.
Die vom Wurm versendeten E-Mails nennen als Absender \“%spoofed%\“ und als Betreff \“Delivery by mail\“, \“Delivery service mail\“, \“is delivered mail\“, \“registration is acepted\“ oder \“you are made activate\“. Der E-Mail-Text lautet: \“Before use read the help\“ oder \“thanks for use of our\“. Der Anhang kann unterschiedliche Dateinamen besitzen. Die Dateierweiterung aus .com, .cpl, .exe oder .scr wird zufällig ausgewählt.
Quelle : yahoo.de
27. Januar 2005 um 16:51 #91957lastwebpageModeratorHallo,
ECHO ?
https://www.mailhilfe.de/email941.html&mode=&order=0&thold=0Wer war da schneller? 😉
Peter
27. Januar 2005 um 18:43 #91981MailhilfeKeymasterich
28. Januar 2005 um 11:48 #92045elli_pirallyParticipantHmm
😀 dafür habe ich das unter dem virenthema abgelgt …ätsch28. Januar 2005 um 11:48 #92046elli_pirallyParticipantTrend Micro warnt vor neuer Wurm-Migration
Tokio (pte) – Der japanische Security-Spezialist Trend Micro http://www.trendmicro.com hat einen globalen \“Yellow Allert\“ ausgelöst. Die Ausbreitung des Wurms \“Bagle.AZ\“ soll damit so rasch wie möglich verhindert werden. Die neue Bagle-Migration verbreitet sich über infizierte Dateianhänge und tarnt sich als Bestätigung für einen angeblichen E-Mail-Versand oder eine Registrierung.
Absenderadressen werden gefälscht (spoofed), sodass beim Anwender der Eindruck entsteht, die Nachricht stamme aus einer seriösen Quelle. Nach der Infektion sammelt Bagle zusätzliche E-Mail-Adressen, um das befallene System als Ausgangspunkt für eine weitere Verbreitung zu nutzen. Weiters legt der Wurm eine Kopie von sich selbst in öffentlichen Dokumentenordnern ab. Nach einer erfolgreichen Infektion beendet der Wurm laut Trend Micro verschiedene Prozesse, die mit Antivirus- und Sicherheitsprogrammen in Zusammenhang stehen. Zusätzlich versucht er Verbindungen mit bestimmten Web-Sites herzustellen um JPG-Dateien herunter zu laden. Abschließend öffnet Bagle.AZ noch zufällige TCP-Ports und hinterlässt so Hintertüren für Virenprogrammierer und Hacker.
\“Es ist nicht überraschend, dass Bedrohungen wie Bagle oder Mydoom noch immer aktiv sind\“, kommentiert Jamzu Yaneza, Analyst bei Trend Micro. \“Die Virenprogrammierer testen kontinuierlich neue Social-Engineering Methoden und Verbreitungstechniken um die Infektionsrate ihrer Malicious-Codes erneut zu steigern\“, so Yaneza.
28. Januar 2005 um 11:59 #92048lastwebpageModeratorHallo,
Ich halte das mit den doppel Postings irgendwie für ziemlich witzlos…Mal abgesehen davon,das ich mit diesen Virenwarnungen sowieso nichts anfangen kann, da ich mich irgendwie Frage WO da für den \“User\“ die nützliche Information ist…,vielleicht wäre da eine Einblendung einer separaten \“Box\“ im Forum von McAfee,Panda,TrendMicro oder so sinnvoller,gut das könnte man dan als Werbung verstehen,aber vielleicht gibt es sowas ja auch Produkt unabhäng.
Folgendes Format finde ich da schon Informativer:
Alias Namen: W32/Mydoom.f@MM, WORM_MYDOOM.M, I-Worm.Mydoom.m, W32/MyDoom-O, W32/Mydoom.o@MM
Virentyp: Wurm (ca. 30 KB – kann variieren)
Verbreitung: Über E-Mail und Netzwerkfreigaben. Betreffzeilen, Mailtexte und Dateinhänge können recht stark variieren, jedoch immer in englischer Sprache abgefasst, Infos siehe z.B. hier.
Erkennbare Anzeichen einer Infektion: services.exe (ca. 9 KB) und java.exe (ca. 29 KB) im Windows- bzw. Temp – Verzeichnis.
Bekannte Schäden: Durchsucht infiziertes System in Dateien bestimmter Endungen nach Mailadressen. Stellt auch Anfrage an diverse Suchmaschinen um dort weiter Mailadressen zu finden, an die sich der Wurm mittels seiner eigenen SMTP-Routine (quasi eingebautes \“Mini-Mailprogramm\“) ebenfalls versendet. Installiert Backdoor auf dem System (Prozess-Name \“services.exe\“ im Windows- oder Temp – Ordner). Mydoom.M verfügt sogar über eine sogenannte \“Black-List\“ von Zeichenfolgen, die er mit den gefundenen Mailadressen \“abgleicht\“ und sich an diese nicht verbreitet, sollte diese Zeichenkette darin enthalten sein. Der Wurm verschickt sich z.B. nicht an \“abuse@…diedomain…de\“. Unter den weiterführenden Links der AntiVirus Hersteller sind weitere Merkmale zu finden, wie z.B. mögliche Betreffzeilen der Mails und wie sich die Mailtexte zusammensetzen können.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: McAfee | Sophos | F-Secure | Symantec | BitDefender | TrendMicro |
Informationen Deutsch: Sophos | H+BEDV | Ikarus |(Beispiel von http://www.trojaner-info.de/virenwarnungen/warnungen.shtml )
Peter
[Editiert am 28/1/2005 von lastwebpage]
28. Januar 2005 um 12:03 #92050TomParticipantmmh,
vielleicht ist es nicht schlecht wenn man für jede Meldung noch mal einen Tread im Forum eröffnet.
Ich halte es für duchaus sinnvoll, da viele über Google direkt ins Forum kommen und somit die Startseite gar nicht sehen
Allerdings werde ich es nicht pflegen….28. Januar 2005 um 13:23 #92088TomParticipantDer russische Sicherheits-Experte
Kaspersky Lab http://www.kaspersky.com warnt vor einer Virenepidemie,
ausgelöst durch eine neue Migration des bereits bekannten Bagle-Wurms.
\“Bagle.ay\“ verbreitet sich als E-Mail-Attachement über das Internet. Wird
er unter Windows ausgeführt, sendet er sich selbst an alle auf dem
infizierten Computer aufgefundenen Adressen.Die Größe der gepackten Datei beträgt laut Kasperksy 19 KB. Die
Überschrift der E-Mail lautet: \“Delivery service mail\“, \“Delivery by
mail\“, \“Registration is accepted\“, \“Is delivered mail\“ oder \“You are made
active\“. Die Aktivierung des Wurms erfolgt laut Kaspersky auf Initiative
des Users, der den Anhang des Briefes öffnet und damit die infizierte
Datei startet. Nach dem Start kopiert sich der Wurm in das
Windows-Verzeichnis und registriert sich im Schlüssel für den
automatischen Start. Dabei unterbricht das Schadprogramm Prozesse, die
die Sicherheit des Computers gewährleisten.Zum Versenden der infizierten E-Mails nutzt der Wurm den direkten Weg
über SMTP-Server. Um seine Verbreitung zu erhöhen, sucht \“Bagle.ay\“
zusätzlich nach Verzeichnissen, die die Zeile \“shar\“ enthalten und
hinterlegt sich selbst mit Bezeichnungen, die bekannten Utilities ähneln.
Durch die Nutzung von geteilten Ressourcen und P2P-Netzen erhöht sich die
Anzahl der Verbreitungs-Kanäle des Schadcodes.28. Januar 2005 um 21:13 #92134elli_pirallyParticipanthmm wofür ist denn dann \“dieses\“ forum hier also ich meine diese stelle
- AutorBeitrag
Das Thema ‘Worm/Bagle.AX in Umlauf’ ist für neue Antworten geschlossen.
