sirina
Super Knochen
So ich hoffe das ist kein Hoax, aber ich hatte das Ding tatsächlich heute in meiner Mailbox. 
In den frühen Morgenstunden des 29. Oktobers wurden über die
Sensoren des Österreichischen Virenfrühwarnsystems die ersten Vorboten eines
neuen Computervirus-Ausbruches registriert. Mit über 2800 infizierten eMails
innerhalb der ersten Stunde gibt diese neue Bagle-Variante ein kräftiges
Lebenszeichen von sich.
IKARUS findet das Virus bereits mit dem neuesten Update und
stellt natürlich auch bereits einen Remover zur Verfügung!
VIRENWARNUNG - I.Bagle.AT - das lächelnde Virus!
Die Neue Bagle-Variante verschickt sich wie schon seine Vorgänger via eMails
und bedient sich dabei zwar veralteter aber durchaus wirkungsvoller Tricks
um den Anwender zum entsprechenden Doppelklick zu bewegen. Ungewöhnlich an
diesem Wurm ist, dass sein Mail-Text ausschließlich aus einem Doppelpunkt,
einem Bindestrich und einer Geschwungenen Klammer besteht. Dem Kürzel für
ein sogenanntes Smilie " " !
Weniger freundlich benimmt sich der Wurm jedoch nach einem Doppelklick auf
die angefügten Attachments. Er verschickt sich nicht nur selbst an alle
eMail-Adressen, die er auf dem infizierten System finden kann, sondern er
schafft auch Voraussetzung für erfolgreichen Attacken auf das infizierte
Zielsystem, was nahe legt, dass es sich um einen weiteren Versuch handelt,
ein sogenanntes Bot-Net für Spammer aufzubauen.
Das Lächeln kann einem dabei sehr schnell wieder vergehen!
Der Wurm versteckt sich dabei in eMails mit folgendem Aussehen:
Mögliche Betreffs:
Re: Thanks
Re: Hello
Re: Hi
Re:
Re: Thank you!
Mailtext:
Attachments:
Price.com / Price.scr / Price.exe
Joke.com / Joke.scr / Price.exe
Technische Beschreibung:
Der I-Wurm.Bagle.AT ist ein speicher-residenter Massenmailer
(mit Pex 0.99 gepackt) mit eigener SMTP Engine.
Die eigentliche Infektion erfolgt entweder über eine EXE,
SCR(Screensaver), COM oder CPL(Systemsteuerung) Datei, die als E-Mail
Attachements mit gefälschtem Absender verschickt wird, oder über Dateien die
aus P2P System heruntergeladen wurden.
Er installiert nach erfolgter Infektion die Dateien
C:\%System%\wingo.exe
C:\%System%\wingo.exeopen
Zudem versucht der Wurm sich in alle Verzeichnisse zu
kopieren, die im Namen "shar" aufweisen.
Danach versucht das Virus die Datei C:\%System%\wingo.exe
auszuführen.
Es erstellt den Mutex:
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D (normalerweise ist %System% der
Windows system Ordner der unter win9x/ME unter C:windowssystem zu finden
ist, das Equivalent dazu unter WIN NT/2K/XP ist normalerweise
C:WINNTSystem32 (bei NT) und 2000 sowie C:WindowsSystem32 bei Windows XP).
Es erzeugt folgenden Schlüssel in der Registry der beim
nächsten Windows Start ausgeführt werden:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run wingo = %SYSTEM%\wingo.exe
Zudem öffnet der Wurm Port 80 und versucht von einer im Wurm
enthaltenen Adresse (z.B. http://www.xxxombouncer.com/g.jpg") die Datei
g.jpg Datei nachzuladen, die eine ausführbare Datei darstellt und dann nach
C:\winnt\re_file.exe
kopiert wird.
Der Bagle.AT Wurm öffnet auf von ihm infizierten PCs den TCP
Port 81 um einen Remotezugriff auf den PC zu ermöglichen. Weiter wird das
RAS Logging unter Windows deaktiviert
Wie die meisten aktuellen Würmer versucht auch Bagle.AT div.
Prozesse installierter Anti-Virus Produkte zu terminieren um eine Erkennung
zu erschweren bzw. zu verhindern.
Um einen Neustart der Antiviren Software beim nächsten
Systemstart zu verhindern werden die Registry Schlüssel diverser AntiVirus
Produkte gelöscht.
Liste der gelöschten Registry Keys jeweils unterhalb von:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
Liste der Prozesse die von Bagle.AT terminiert werden.
alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe
Sonja Judith Fink
IKARUS Software GmbH
Fillgradergasse 7 - A-1060 Vienna
0043+1+58995-121
fink.s@ikarus.at