Ergebnis 1 bis 9 von 9

Worm/Bagle.AT

Erstellt von amnesius, 29.10.2004, 14:06 Uhr · 8 Antworten · 505 Aufrufe

  1. #1
    amnesius
    Avatar von amnesius

    Worm/Bagle.AT

    Hallo,

    aus gegebenem Anlass möchte ich hier kurz auf den Virus Worm/Bagle.AT hinweisen.

    Dieser Virus ist relativ neu und wurde erst heute im Laufe des Tages in die Virendefinitionen der Antivirusprogramme aufgenommen.

    Ich empfehle heute ein Update des Viruskillers zu machen.

    Kurze Virusbeschreibung:

    Worm/Bagle.AT durchsucht diverse Dateitypen nach Emailadressen und versendet sich selbst an diese Adressen.

    Der Betreff der Emails lautet:
    Re:
    Re:Hello
    Re:Hi
    Re:Thank you!
    Re:Thanks

    Inhalt der Mails:

    )

    Attachment:
    JOKE.COM,.SCR,.EXE
    PRICE.COM,.SCR,.EXE

    Der Virus läßt sich im System recht einfach erkennen:

    [CTRL] + [ALT] + [ENTF]

    ERKENNEN: Dann den Taskmanager starten. Danach Prozesse wählen.
    Erscheint dort ein Prozess namens "WINGO" dann ist der PC infiziert.

    WARNUNG: Der Virus verbreitet sich nicht nur mittels dem eingebauten Mailserver [Verursacht sehr viel Traffic] sondern auch mittels eingebautem Peer-to-Peer Client. Dazu legt der Virus auf der Festplatte fake Dateien an, wie Photoshop.exe usw...

    ENTFERNUNG MANUELL: Den Rechner im Abgesicherten Modus starten (VGA Modus)

    Die Datei "wingo.exe" im Verzeichnis C:\winnt oder c:\windows suchen und löschen und danach den Rechner neu starten..

    FREEANTIVIR: Der Virus wird ab der Virusdefinition
    6.28.00.45 von heute 11:00 Uhr erkannt und gelöscht.

    ANMERKUNG: Dieser Virus ist heute von unserem Viruskiller nicht erkannt worden und hat sich innerhalb von 30 Min verbreitet und den Traffic im Netzwerk in die höhr getrieben. Unsere Rechner können keine SMTP Verbindungen nach aussen hin aufbauen, sodas sich der Virus nicht nach aussern verschicken konnte. Allerdings hat der Traffic des eingebauten P2P Clients viel Bandbreite verbraucht, bis ich diese Verbindugen auf der Firewall abklemmen konnte.

    Mehr Infos auf Anfrage via PM


    Mehr Infos hier: http://www.antivir.de/

  2.  
    Anzeige
  3. #2
    Avatar von Dana_DeLuxe

    Registriert seit
    23.05.2003
    Beiträge
    740

    Re: Worm/Bagle.AT

    Danke für die Info, Amnesius,

    ich hab meinen Scanner gleich aktualisiert,

    liebe Grüße,

    Dana

  4. #3
    amnesius
    Avatar von amnesius

    Re: Worm/Bagle.AT

    Hallo, was mir noch aufgefallen ist:

    Der Virus beendet folgende Antivirusprogramme:
    Kapersky
    Panda Antivirus
    Macaffee
    Norton
    Sorphos
    AntiVir (FreeAV)
    sowie deren Internet Update Programme

    Sollte der Virus eines dieser Programme auf dem Rechner finden, wird das Programm beendet.

    VORSICHT: Das Taskleistensymbol bleibt dabei in der Taskleiste. Erst wenn man mit der Maus über das Symbol fährt, dann verschwindet das Symbol!

    ZUDEM: Beendet der Virus auch auf dem Rechner laufende Firewalls wie: BlackEyes, Outpost, ZoneAlarm ....

  5. #4
    Tel
    Avatar von Tel

    Re: Worm/Bagle.AT

    Zitat Zitat von amnesius",p="182696
    Attachment:
    JOKE.COM,.SCR,.EXE
    PRICE.COM,.SCR,.EXE

    ANMERKUNG: Dieser Virus ist heute von unserem Viruskiller nicht erkannt worden und hat sich innerhalb von 30 Min verbreitet und den Traffic im Netzwerk in die höhr getrieben. Unsere Rechner können keine SMTP Verbindungen nach aussen hin aufbauen, sodas sich der Virus nicht nach aussern verschicken konnte. Allerdings hat der Traffic des eingebauten P2P Clients viel Bandbreite verbraucht, bis ich diese Verbindugen auf der Firewall abklemmen konnte.
    Warum lässt du überhaupt solche Anhänge durchgehen? Ist doch nur eine Frage der Zeit, dass sich ein allseits klickbereiter DAU findet und das System mit nem nicht erfassten Virus infiziert...

  6. #5
    amnesius
    Avatar von amnesius

    Re: Worm/Bagle.AT

    @Tel

    Weil die http Zugänge zu web.de, gmx, hotmail usw.. nicht gesperrt sind.. :-$

    -Stefan

  7. #6
    Tel
    Avatar von Tel

    Re: Worm/Bagle.AT

    jo, Denkfehler meinerseits...

  8. #7
    amnesius
    Avatar von amnesius

    Re: Worm/Bagle.AT

    @Tel

    kein Problem, ich hab auch lang gegrübelt wo das Teil herkommt.

    Die Clients können nur via HTTP Proxy Kontakt nach aussen aufnehmen.

    Alle ausführbaren Dateien die an Email hängen werden in die Quarantäne verschoben.

    Laut Logfile vom Proxy hat ein User das File von GMX runtergeladen... :-(

    -Stefan

  9. #8
    Rene
    Avatar von Rene

    Re: Worm/Bagle.AT

    Hallo,

    vielen Dank für Deinen Hinweis. Hatte auch eine "seltsame" Mail im Posteingang, hab sie gleich entsorgt.

    René

  10. #9
    amnesius
    Avatar von amnesius

    Re: Worm/Bagle.AT

    Nachtrag:

    Wenn man dem Virus die Chance nimmt via SMTP mit der Aussenwelt zu kommunizieren, erscheint nach ein paar Tagen ein Fenster, in dem folgendes steht:

    out=[EIGENE EMAIL]
    gefolgt von einer Liste von Emailadressen an die sich der Virus erfolglos versucht hat zu verschicken.

    Da sag mal einer, das Virusprogrammierer nicht sauber programmieren können.. ;-D

    Trotzdem gilt weiterhin (Für alle Virenauthoren): Wenn der Sausack erwischt wird, dann ab ins Loch mit ihm. Mein Job ist auch ohne Viren stressig genug...

    Grüße

    Stefan

Ähnliche Themen

  1. Virus W.32.Blaster.Worm
    Von MichaelNoi im Forum Computer-Board
    Antworten: 4
    Letzter Beitrag: 13.08.03, 16:41