www.thailaendisch.de

Worm/Bagle.AT

Diskutiere Worm/Bagle.AT im Computer-Board Forum im Bereich Diverses; Hallo, aus gegebenem Anlass möchte ich hier kurz auf den Virus Worm/Bagle.AT hinweisen. Dieser Virus ist relativ neu und wurde erst heute im...
A

amnesius

Gast
Hallo,

aus gegebenem Anlass möchte ich hier kurz auf den Virus Worm/Bagle.AT hinweisen.

Dieser Virus ist relativ neu und wurde erst heute im Laufe des Tages in die Virendefinitionen der Antivirusprogramme aufgenommen.

Ich empfehle heute ein Update des Viruskillers zu machen.

Kurze Virusbeschreibung:

Worm/Bagle.AT durchsucht diverse Dateitypen nach Emailadressen und versendet sich selbst an diese Adressen.

Der Betreff der Emails lautet:
Re:
Re:Hello
Re:Hi
Re:Thank you!
Re:Thanks:)

Inhalt der Mails:
:)
:))

Attachment:
JOKE.COM,.SCR,.EXE
PRICE.COM,.SCR,.EXE

Der Virus läßt sich im System recht einfach erkennen:

[CTRL] + [ALT] + [ENTF]

ERKENNEN: Dann den Taskmanager starten. Danach Prozesse wählen.
Erscheint dort ein Prozess namens "WINGO" dann ist der PC infiziert.

WARNUNG: Der Virus verbreitet sich nicht nur mittels dem eingebauten Mailserver [Verursacht sehr viel Traffic] sondern auch mittels eingebautem Peer-to-Peer Client. Dazu legt der Virus auf der Festplatte fake Dateien an, wie Photoshop.exe usw...

ENTFERNUNG MANUELL: Den Rechner im Abgesicherten Modus starten (VGA Modus)

Die Datei "wingo.exe" im Verzeichnis C:\winnt oder c:\windows suchen und löschen und danach den Rechner neu starten..

FREEANTIVIR: Der Virus wird ab der Virusdefinition
6.28.00.45 von heute 11:00 Uhr erkannt und gelöscht.

ANMERKUNG: Dieser Virus ist heute von unserem Viruskiller nicht erkannt worden und hat sich innerhalb von 30 Min verbreitet und den Traffic im Netzwerk in die höhr getrieben. Unsere Rechner können keine SMTP Verbindungen nach aussen hin aufbauen, sodas sich der Virus nicht nach aussern verschicken konnte. Allerdings hat der Traffic des eingebauten P2P Clients viel Bandbreite verbraucht, bis ich diese Verbindugen auf der Firewall abklemmen konnte.

Mehr Infos auf Anfrage via PM


Mehr Infos hier: http://www.antivir.de/
 
D

Dana_DeLuxe

Gast
Danke für die Info, Amnesius,

ich hab meinen Scanner gleich aktualisiert,

liebe Grüße,

Dana :wink:
 
A

amnesius

Gast
Hallo, was mir noch aufgefallen ist:

Der Virus beendet folgende Antivirusprogramme:
Kapersky
Panda Antivirus
Macaffee
Norton
Sorphos
AntiVir (FreeAV)
sowie deren Internet Update Programme

Sollte der Virus eines dieser Programme auf dem Rechner finden, wird das Programm beendet.

VORSICHT: Das Taskleistensymbol bleibt dabei in der Taskleiste. Erst wenn man mit der Maus über das Symbol fährt, dann verschwindet das Symbol!

ZUDEM: Beendet der Virus auch auf dem Rechner laufende Firewalls wie: BlackEyes, Outpost, ZoneAlarm ....
 
T

Tel

Gast
amnesius" schrieb:
Attachment:
JOKE.COM,.SCR,.EXE
PRICE.COM,.SCR,.EXE

ANMERKUNG: Dieser Virus ist heute von unserem Viruskiller nicht erkannt worden und hat sich innerhalb von 30 Min verbreitet und den Traffic im Netzwerk in die höhr getrieben. Unsere Rechner können keine SMTP Verbindungen nach aussen hin aufbauen, sodas sich der Virus nicht nach aussern verschicken konnte. Allerdings hat der Traffic des eingebauten P2P Clients viel Bandbreite verbraucht, bis ich diese Verbindugen auf der Firewall abklemmen konnte.
Warum lässt du überhaupt solche Anhänge durchgehen? Ist doch nur eine Frage der Zeit, dass sich ein allseits klickbereiter DAU findet und das System mit nem nicht erfassten Virus infiziert...
 
A

amnesius

Gast
@Tel

Weil die http Zugänge zu web.de, gmx, hotmail usw.. nicht gesperrt sind.. :-$

-Stefan
 
A

amnesius

Gast
@Tel

kein Problem, ich hab auch lang gegrübelt wo das Teil herkommt.

Die Clients können nur via HTTP Proxy Kontakt nach aussen aufnehmen.

Alle ausführbaren Dateien die an Email hängen werden in die Quarantäne verschoben.

Laut Logfile vom Proxy hat ein User das File von GMX runtergeladen... :-(

-Stefan
 
R

Rene

Gast
Hallo,

vielen Dank für Deinen Hinweis. Hatte auch eine "seltsame" Mail im Posteingang, hab sie gleich entsorgt.

René
 
A

amnesius

Gast
Nachtrag:

Wenn man dem Virus die Chance nimmt via SMTP mit der Aussenwelt zu kommunizieren, erscheint nach ein paar Tagen ein Fenster, in dem folgendes steht:

out=[EIGENE EMAIL]
gefolgt von einer Liste von Emailadressen an die sich der Virus erfolglos versucht hat zu verschicken.

Da sag mal einer, das Virusprogrammierer nicht sauber programmieren können.. ;-D

Trotzdem gilt weiterhin (Für alle Virenauthoren): Wenn der Sausack erwischt wird, dann ab ins Loch mit ihm. Mein Job ist auch ohne Viren stressig genug...

Grüße

Stefan
 
Thema:

Worm/Bagle.AT

Oben