poste ich einfach mal wieder; hat sich ja mittlerweile eingebürgert *gg*
ach ja: schaut man sich die urls mal an, weiß man, zu welchem auto der programmierer wohl neigt.... und es ist bestimmt kein opel!!!
-----BEGIN PGP SIGNED MESSAGE-----
######################################################################
CERT-Bund -- Warn- und Informationsdienst
######################################################################
Informationen zu Programmen mit Schadfunktionen
VIRINFO 04/01 vom 20.01.2004
Virus-Warnung - Virus-Beschreibung
Name: W32.Beagle.A@mm
Alias: WORM_BAGLE.A [Trend]
I-Worm.Bagle[Kaspersky]
Art: Wurm
Groesse des Anhangs: 15.872 Bytes
Betriebssystem / Software: Microsoft Windows
Art der Verbreitung: Massenmail
Verbreitungsgrad: hoch
Risiko bei Aktivierung: mittel
Schadensfunktion: Massenmailing
Spezielle Entfernung: Tool
Bekannt seit: 18.01.2004
Beschreibung:
W32.Beagle.A@mm ist ein Massenmailer-Wurm, der sich ueber seine eigene
SMTP-Maschine versendet. Die Absender-Adresse wird dabei gefaelscht!
Die E-Mail hat folgende Charakteristik:
Betreff: Hi
Nachricht: Test=)
<zufaelliger Text>
- - --
Test, yep.
Name des Anhangs: <zufaelliger Name>.exe
Groesse des Anhangs: 15.872 Bytes
Bei Aktivierung des Anhangs geschieht folgendes:
1. Der Wurm prueft ob das Systemdatum vor dem 28. Januar 2004 steht.
Ist das Datum gleich oder groesser als der 28. Januar beendet sich
der Wurm selbst.
2. Er kopiert sich selbst unter "bbeagle.exe" in das
Windows-Systemverzeichnis.
3. Danach wird die Datei calc.exe gestartet. (Das ist der
Taschenrechner der zum Windows-Betriebssystem gehoert.)
4. Dem Registrierungsschluessel
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
wird folgender Wert zugewiesen:
"d3dupdate.exe" = "%system%\bbeagle.exe"
5. Dem Registrierungsschluessel HKEY_CURRENT_USER\Software\Windows98
wird der Wert "uid" = "[zufaelliger Wert]" und "frun" = "1"
zugewiesen.
6. Der Wurm sucht in Dateien mit den Erweiterungen .wab, .txt, .htm
und html nach E-Mail-Adressen. Die gefundenen E-Mail-Adressen werden
dann fuer die Weiterverbreitung verwendet.
Der Wurm versendet sich nicht an E-Mail-Adressen die folgenden Text
enhalten:
.r1
@hotmail.com
@msn.com
@microsoft.com
@avp.
7. Der Wurm oeffnet in einem befallen System den Port 6777 nach aussen.
Hierdurch ist es moeglich, dass der Angreifer von aussen ausfuehrbare
Dateien und Systemkommandos starten kann.
8. Der Schaedling versucht zusaetzlich alle 10 Minuten mit folgenden
Web-Seiten Kontakt aufzunehmen, um ein PHP-Script nachzuladen.
http://www.elrasshop.det
www-it-msc.de
http://www.getyourfree.net
http://www.dmdesign.de
64.176.228.13
http://www.leonzernitsky.com
216.98.136.248
216.98.134.247
http://www.cdromca.com
http://www.kunst-in-templin.de
vipweb.ru
antol-co.ru
http://www.bags-dostavka.mags.ru
http://www.5x12.ru
bose-audio.net
http://www.sttngdata.de
wh9.tu-dresden.de
http://www.micronuke.netf
http://www.stadthagen.org
http://www.beasty-cars.de
http://www.polohexe.de
http://www.bino88.de
http://www.grefrathpaenz.de
http://www.bhamidy.de
http://www.mystic-vws.de
http://www.auto-hobby-essen.de
http://www.polozicke.de
http://www.twr-music.de
http://www.sc-erbendorf.de
http://www.montania.de
http://www.medi-martin.de
vvcgn.de
http://www.ballonfoto.com
http://www.marder-gmbh.de
http://www.dvd-filme.com
http://www.smeangol.com
Aktuelle Signaturen von Viren-Schutzprogrammen erkennen den Wurm.
Den Wurm auf einem infizierten Rechner lokalisieren und entfernen
koennen Sie ueber eines der kostenlosen Entfernungstools von :
Symantec: FxBeagle.exe
<http://securityresponse.symantec.com/avcenter/FxBeagle.exe>
NAI: Stinger.exe
<http://download.nai.com/products/mcafee-avert/stinger.exe>
BitDefender: Antibbgle-DE.exe
<http://www.bitdefender.com/bd/site/downloads.php?menu_id=20#>
Weitere Informationen finden Sie unter:
http://www.bsi.bund.de/av/vb/beagle.htm
Fragen richten Sie bitte an <mailto:antivir@bsi.de>. Virenmeldungen
koennen Sie an <mailto:virmeld@bsi.de> senden.
Mit freundlichen Gruessen
Ihr Team CERT-Bund
- -----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
<mailto:wid-virinfo@bsi.bund.de> / <http://www.bsi.bund.de>
- -----------------------------------------------------------------
========================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/>
Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur
ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen
Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund
<http://www.bsi.de/certbund/digsig/> aufgefuehrt und erlaeutert.
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
========================================================================
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
iQEVAwUBQA0Gbc+d7gHvgbn9AQHkngf+PlOg7dPpAJXXclDUtxHGV9YkKcbEbrhc
h0PCkkI7tXNGMezedn3KXJWx1DmKQzSovFxcw0LJ3Ht6hjt6I3dntSSQVpgMQ1xM
sdx823iqvKaRpJC4GDxS5Td4YYEQSpjj6KJt4zEaUsJ4iNKW1k+nA9q7Hvyf2Jgb
hDTAN7oFOYpPVgzFN/gwfROX9lwl4UMMCLcXMcV66wZDfStEQ5r4J461RZK3qeUp
haxLd4Qx1ZlVWCAR/AnTTXX8REPzhzYTy0XaHLLaQa59bj6ScjRclSjP3K68HfAZ
32QM5mU0UFUNNEheyPsbyIadQt/yADO0EFSCEJynzMjFRdB2XBc4yQ==
=jEHq
-----END PGP SIGNATURE-----