Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: [MS/Windows] Bagle.J/Beagle.J verbreitet sich  (Gelesen 2033 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.523
[MS/Windows] Bagle.J/Beagle.J verbreitet sich
« am: 05. März 2004, 08:23:02 »

[MS/Windows] Bagle.J/Beagle.J verbreitet sich
(2004-03-03 23:11:30.57312+01)
Quelle: http://www.symantec.com/avcenter/venc/data/w32.beagle.j@mm.html



> Die \'J\' -Version des Bagle/Beagle-Wurms verbreitet sich derzeit per
> E-Mail. Der Wurm fälscht Absenderadressen und formatiert die Nachricht
> so, daß sie zum Absender paßt. Im Anhang befindet sich eine
> verschlüsselte ZIP-Datei, deren Paßwort in der Nachricht enthalten
> ist. Weitere Verbreitungswege sind P2P-Netzwerke, wie Kazaa und iMesh.
>
> Betroffene Systeme
>
> * Windows 95, 98, Me
> * Windows NT, 2000
> * Windows XP
> * Windows Server 2003
>
> Einfallstor
>
> * Verschlüsselte ZIP-Datei als Anhang einer E-Mail-Nachricht
> * P2P-Netzwerke
>
> Auswirkung
>
> * Massives Versenden infizierter Nachrichten an Adressen, die auf
> dem infizierten System gefunden werden.
> * Verbreitung über P2P-Netzwerke, in dem eine Kopie des Wurmes in
> die jeweiligen share-Verzeichisse unter einem gefälschten
> Dateinamen abgelegt wird.
> * Öffnen einer Hintertür auf Port 2745. Diese kann von einem
> Angreifer dazu ausgenutzt werden, beliebige Dateien in das
> %Windir%-Verzeichnis zu kopieren, die dort unter dem Namen
> %Windir%\\iuplda abgelegt werden, wobei ein zufälliger
> String ist.
> * Der Wurm versucht, verschiedene Antivirusprogramme zu beenden.
>
> Klasse -> E-Mail-Wurm
>
> Gefahrenpotential
>
> mittel bis hoch
> (Hinweise zur [1]Einstufung des Gefahrenpotentials.)
>
> Beschreibung
>
> Bagle/Beagle.J ist eine Variante des Bagle/Beagle.A-Wurmes und
> verbreitet sich derzeit per E-Mail. Der Wurm ist dabei in einer
> verschlüsselten ZIP-Datei im Anhang der Nachricht enthalten und
> unterläuft so die gängigen Antivirusprogramme, die Nachrichten und
> Anhänge auf bestimmte Muster des Wurm-Codes (sog. Signaturen) hin
> untersuchen. Die Nachricht selbst enthält einen Text, der auf den
> ersten Blick gut zur gefälschten Absenderadresse paßt und das Paßwort
> für den Anhang bereitstellt. Öffnet der gutgläubige Benutzer den
> Anhang, wird das beherbergende Rechnersystem infiziert.
>
> Charakteristika
>
>* Verbreitung über E-Mail
> Bagle/Beagle.J fälscht Absenderaddressen so, daß sie für die
> Empfänger der Nachrichten auf den ersten Blick plausibel aussehen:
> der DNS-Domainname des Empfängers wird mit folgenden local-Parts
> kombiniert:
> + management@
> z.B.: management@Uni-Stuttgart.DE
> + administration@
> + staff@
> + noreply@
> + support@
> Folgende Betreff-Zeilen (Subject:) verwendet der Wurm:
>
> * E-mail account disabling warning.
> * E-mail account security warning.
> * Email account utilization warning.
> * Important notify about your e-mail account.
> * Notify about using the e-mail account.
> * Notify about your e-mail account utilization.
> * Warning about your e-mail account.
>
> Die Nachrichten selbst bestehen derzeit aus den folgenden
> Textbausteinen:
>
> Anrede:
>
> * Dear user of ,
> z.B.: Dear user of ,
> * Dear user of gateway e-mail server,
> * Dear user of e-mail server \"\",
> * Hello user of e-mail server,
> * Dear user of \"\" mailing system,
> * Dear user, the management of mailing system
> wants to let you know that,
>
> Danach folgt einer der folgenden Abschnitte:
>
> * Your e-mail account has been temporary disabled because of
> unauthorized access.
> * Our main mailing server will be temporary unavaible for next two
> days, to continue receiving mail in these days you have to
> configure our free auto-forwarding service.
> * Your e-mail account will be disabled because of improper using in
> next three days, if you are still wishing to use it, please,
> resign your account information.
> * We warn you about some attacks on your e-mail account. Your
> computer may contain viruses, in order to keep your computer and
> e-mail account safe, please, follow the instructions.
> * Our antivirus software has detected a large ammount of viruses
> outgoing from your email account, you may use our free anti-virus
> tool to clean up your computer software.
> * Some of our clients complained about the spam (negative e-mail
> content) outgoing from your e-mail account. Probably, you have
> been infected by a proxy-relay trojan server. In order to keep
> your computer safe, follow the instructions.
>
> Schließlich folgt eine Zeile, die darauf hinweist, daß in der Datei im
> Anhang Details bzw. weitere Information zu finden ist und der Hinweis,
> daß diese Datei aus Sicherheitsgründen verschlüsselt wurde. Das
> Paßwort wird ebenfalls angegeben.
>
> Verbreitung über P2P-Netzwerke
> Wenn der Wurm ein Rechnersystem infiziert, kopiert er sich in
> Verzeichnisse, deren Namen den String \"shar\" enthalten. Solche
> Verzeichnisse werden von File-Sharing-Software wie Kazaa und iMesh
> verwendet. Die Kopien des Wurms tragen dabei einen der folgenden
>
> Namen:
>
> * ACDSee 9.exe
> * Adobe Photoshop 9 full.exe
> * Ahead Nero 7.exe
> * Matrix 3 Revolution English Subtitles.exe
> * Microsoft Office 2003 Crack, Working!.exe
> * Microsoft Office XP working Crack, Keygen.exe
> * Microsoft Windows XP, WinXP Crack, working Keygen.exe
> * Opera 8 New!.exe
> * Porno pics arhive, xxx.exe
> * Porno Screensaver.scr
> * Porno, sex, oral, anal cool, awesome!!.exe
> * Serials.txt.exe
> * WinAmp 5 Pro Keygen Crack Update.exe
> * WinAmp 6 New!.exe
> * Windown Longhorn Beta Leak.exe
> * Windows Sourcecode update.doc.exe
> * XXX hardcore images.exe
>
> Aliases:
>
> * W32/Bagle.j@MM
> * W32.Beagle.J@mm
>
> Gegenmaßnahmen
>
> Die Verschlüsselung stellt sicher, daß der Wurm selbst im Attachment
> nicht von Antivirusprogrammen erkannt werden kann, da der Schlüssel
> zufällig gewählt wird. Antivirenprogramme können daher nur nach den
> begleitenden Nachrichten bzw. auf infizierten Systemen nach dem
> unverschlüsselten Wurm suchen.
> * Entfernung des Wurmes:
> Einige Hersteller von Antivirensoftware bieten kostenlos
> Entfernungswerkzeuge an:
> + McAfee: [2]Stinger
> * Aktualisierung der Signaturdateien von Antivirussoftware:
> + [3]McAfee:EXTRA.DAT
> + [4]McAfee:SUPER EXTRA.DAT
>
> Generelle Empfehlung (Wh)
>
> * Führen Sie keinerlei Attachments aus, die Sie per E-Mail
> erhalten[5]1) haben, egal woher! Auch Hinweise in den Nachrichten,
> wie \'Virus Checked\' oder Ähnliches, bieten keinerlei Schutz vor
> Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach
> wie vor ein gesundes Mißtrauen des Benutzers.
> * Kein ernstzunehmender Hersteller von System- oder
> Antivirussoftware verschickt Werkzeuge zur Entfernung
> irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das
> RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche
> Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine
> gefälschte Nachricht handelt.
> * Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie
> automatisierte Update-Dienste in Anpruch, wenn möglich.
>
> 1) Dies gilt insbesondere für Nachrichten mit Attachments, die
> unerwartet eintreffen und nicht einer plausiblen
> Kommunikationsbeziehung, z.B. im Rahmen eines Projektes, bei dem
> Dokumente ausgetauscht werden, zuzuordnen sind. Allerdings ist auch
> hier Sorgfalt geboten, einige Würmer produzieren Nachrichten, die den
> Anschein erwecken sollen, zu einer solchen Beziehung zu gehören.
>
> Credits:
>
> * Wir danken Christoph Fischer (BFK edv-consulting GmbH) für
> Anregungen.
>
> Aktuelle Version dieses Artikels
> [6]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1182

Hinweis:
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur            zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

>
> Copyright © 2004 RUS-CERT, Universität Stuttgart,
> [7]http://CERT.Uni-Stuttgart.DE/[/B]
Gespeichert

der Notnagel

  • Administrator
  • *****
  • :
  • Offline Offline
  • Beiträge: 29.125
  • Der Affe arbeitet nicht bei MSI
[MS/Windows] Bagle.J/Beagle.J verbreitet sich
« Antwort #1 am: 06. März 2004, 21:35:26 »

Aktuelle Virenwarnungen
05.03. W32/Netsky-H
04.03. W32/Hiton-A
04.03. W32/Netsky-G
04.03. Troj/Ranck-K
04.03. W32/Bagle-Zip
03.03. W32/Bagle-K
03.03. W32/Agobot-DG
03.03. W32/MyDoom-G
02.03. W32/Bagle-J
02.03. W32/Netsky-D

Die Viren sind Vergänglich wie jedes andere Programm auch. Ich weiß nicht, ob der Bagle.J/Beagle.J nun diesen besonderen Platz im Forum benötigt.

Und hier noch am Rande:
03. März 2004

Wortgefecht der Würmer: Bagle Wurm schimpft auf Netsky
Die Viren-Forscher von Sophos haben herausgefunden, dass der Bagle-J Wurm (W32/Bagle-J) eine beleidigende Nachricht enthält, die sich an den Virenschreiber des derzeit akuten Netsky Virus richtet.

Im Code des Bagle-J Wurms ist folgende Botschaft versteckt:

\'Hey, NetSky, (Vulgärwort entfernt), don\'t ruine our business, wanna start a war?\'

\"Die Bagle und Netsky Würmer liefern sich momentan einen Kampf um die Spitzenposition in der Virenszene und die arglosen Computeranwender müssen ihn ausbaden\", meint Gernot Hacker, Senior Technical Consultant bei Sophos. \"Offensichtlich ist der Virenschreiber des Bagle Wurms ziemlich beeindruckt von der Aufmerksamkeit, die Netsky bekommt, und den Schlagzeilen, die er derzeit macht. Der Schlagabtausch der beiden Autoren ist ein echtes Ärgernis für die User, da die Würmer das E-Mail-Postfach sinnlos verstopfen - von der lauernden Gefahr ganz zu Schweigen. Jeder sollte sichergehen, dass sein Virenschutz auf dem neuesten Stand ist und zwielichtige Textinhalte am E-Mail-Gateway gefiltert werden.\"

der Notnagel
Gespeichert
der Notnagel

Fragen zum BIOS-Update? BIOS-Update im Detail und Das Flashen einer Grafikkarte
Vor dem Update beachten: Woran erkenne ich, welches Board ich habe und Die Grafikkarte richtig erkennen
Unterstützung bei BIOS-Problemen nur bei vollständiger Angabe des installierten BIOS (z.B A7226NMS.150)
Grundsätzlich Kein Support über PN, ICQ, Skype, WhatsAPP und dgl...

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.523
[MS/Windows] Bagle.J/Beagle.J verbreitet sich
« Antwort #2 am: 07. März 2004, 14:36:24 »

Solange Viren wie die Genannten im Umlauf sind, werde ich die Gefährlichsten und Bösartigsten \"Pinnen\".

Sollte sich die Schädlichkeit der aktuellen Viren/Würmer ändern, werde ich dieses Berücksichtigen und gegebenenfalls den Post löschen, bzw zu den normalen Themen hinzufügen.

Leider muß man heutzutage aktuelle Viren Warnungen Vorneanstellen, da es immer noch einige User gibt, die Ohne Virenschutz im Net Unterwegs sind.

Leider ist es auch so, das die Neuesten Viren Ihre Schadensroutine ändern können, sodas sie von Scannern kaum noch Aufzuspüren sind.

Ich finde es sehr Wichtig das vor allem auch die User die bei uns im Forum suchen, auch Infos dieser Art bekommen.
Gespeichert