Verfasst am: 19.01.2004, 18:36| Zitat: |
| Das Schadens- und Verbreitungspotenzial des Wurms wird von
Trend Micro als hoch eingestuft. Bagle.A verbreitet sich ueber eine eigene SMTP-Engine. |
Verfasst am: 20.01.2004, 00:03Verfasst am: 21.01.2004, 08:35Verfasst am: 18.02.2004, 21:40Verfasst am: 02.03.2004, 19:20Verfasst am: 02.03.2004, 19:23| Zitat: |
| W32/Bagle-G kann sich als kennwortgeschützte ZIP-Datei versenden, die von dieser IDE nicht erkannt wird. Wenn die Datei von dem Anwender entpackt wird, wird der Wurm jedoch von Sophos Anti-Virus auf dem Desktop des Anwenders erkannt.
W32/Bagle-G ist ein E-Mail-Wurm, der sich über seine eigene SMTP-Engine an Adressen sendet, die er auf der Festplatte des befallenen Computers gefunden hat. W32/Bagle-G verbreitet sich außerdem über freigegebene Peer-to-Peer-Ordner. Der Wurm kopiert sich als I1RU54N.EXE in den Windows-Systemordner und erstellt die folgenden Dateien im selben Ordner:--> |
Verfasst am: 02.03.2004, 19:33| Zitat: |
| W32/Bagle-H versendet sich als kennwortgeschützte ZIP-Datei, die von dieser IDE nicht erkannt wird. Wenn die Datei von dem Anwender entpackt wird, wird der Wurm jedoch von Sophos Anti-Virus auf dem Desktop des Anwenders erkannt.
W32/Bagle-H ist ein E-Mail-Wurm, der sich über seine eigene SMTP-Engine an Adressen sendet, die er auf der Festplatte des befallenen Computers gefunden hat. Der Wurm sucht nach Dateien mit den Erweiterungen WAB, TXT, HTM, XML, DBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, ADB, TBB und SHT und entpackt mit diesen Dateien die E-Mail-Adressen des Empfängers und des Senders (dies ist der Grund, warum die Sender-E-Mail-Adresse gefälscht ist). |
Verfasst am: 02.03.2004, 19:37| Zitat: |
| W32/Bagle-I ist ein E-Mail-Wurm, der sich über seine eigene SMTP-Engine an Adressen sendet, die er auf der Festplatte aufgespürt hat. Der Wurm sucht nach Dateien mit folgenden Erweiterungen: WAB, TXT, HTM, XML, DBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, ADB, TBB und SHT.
Wenn er ausgeführt wird, kopiert sich der Wurm als i11r54n4.exe in den Windows-Systemordner und erstellt die folgenden Dateien im selben Ordner: go154o.exe - die hauptsächliche DLL-Komponente des Wurms i1i5n1j4.exe - ein DLL-Plugin zum Laden von ONDE.EXE i11r54n4.EXEOPEN - eine Kopie des Wurms in kennwortgeschütztem ZIP-Format W32/Bagle-I fügt den Wert rate.exe = <SYSTEM>\i11r54n4.exe zu folgendem Registrierungsschlüssel hinzu: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Dies bedeutet, dass W32/Bagle-I startet, sobald Sie sich an Ihrem Computer anmelden. Die E-Mails haben folgende Merkmale: Betreffzeilen: Hokki =) Weah, hello! 
Weeeeee! ))
Hi!
|
Verfasst am: 03.03.2004, 13:53| Zitat: |
| Der Wurm kopiert sich als IRUN4.EXE in den Windows-Systemordner und erstellt die Datei IRUN4.EXEOPEN (eine Kopie des Wurms in kennwortgeschütztem ZIP-Format) im selben Ordner. |
Verfasst am: 04.03.2004, 02:38| Zitat: |
| W32/Bagle-K ist ein E-Mail-Wurm, der sich über seine eigene SMTP-Engine an Adressen sendet, die er auf der Festplatte des befallenen Computers gefunden hat. Der Wurm sucht nach Dateien mit den Erweiterungen WAB, TXT, HTM, XML, DBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, ADB, TBB und SHT.
Wenn er ausgeführt wird, kopiert sich der Wurm als winsys.exe in den Windows-Systemordner und erstellt Dateien im selben Ordner. W32/Bagle-K fügt folgenden Wert ssate.exe = <SYSTEM>\winsys.exe zu folgendem Registrierungsschlüssel hinzu: HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Dies bedeutet, dass W32/Bagle-K startet, sobald Sie sich an Ihrem Computer anmelden. Die E-Mails haben folgende Merkmale: Sender: ausgewählt aus: management@<recipient_internet_domain> administration@<recipient_internet_domain> staff@<recipient_internet_domain> noreply@<recipient_internet_domain> support@<recipient_internet_domain> Betreffzeilen: E-mail account security warning Notify about using the e-mail account. Warning about your e-mail account. Important notify about your e-mail account. Email account utilization warning. Notify about your e-mail account utilization. E-mail account disabling warning. |
output generated using printer-friendly topic mod, Alle Zeiten sind GMT + 1 Stunde