Bagle.FJ 17.02.2009
Verbreitung:--->*****
Schaden:------->*****
Der Wurm Bagle.FJ ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die angeblich einen freizügigen Bildschirmschoner enthalten soll.
Und das ist natürlich gelogen.
Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keinen Bildschirmschoner.
Stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff – einer der folgenden:
• Gwd: Msg reply; Gwd: Hello :-); Gwd: Yahoo!!!; Gwd: Thank you!; Gwd:
Thanks :); Gwd: Text message; Gwd: Document; Gwd: Incoming message;
Gwd: Incoming Message; Gwd: Incoming Msg; Gwd: Message Notify; Gwd:
Notification; Gwd: Changes..; Gwd: Update; Gwd: Fax Message; Gwd:
Protected message; Gwd: Protected message; Gwd: Forum notify; Gwd:
Site changes; Gwd: Hi; Gwd: crypted document
Dateianhang: XXX_livebabes.scr
E-Mail-Text – einer der folgenden:
• Ok. Read the attach.
• Ok. Your file is attached.
• Ok. More info is in attach
• Ok. See attach.
• Ok. Please, have a look at the attached file.
• Ok. Your document is attached.
• Ok. Please, read the document.
• Ok. Attach tells everything.
• Ok. Attached file tells everything.
• Ok. Check attached file for details.
• Ok. Check attached file.
• Ok. Pay attention at the attach.
• Ok. See the attached file for details.
• Ok. Message is in attach
• Ok. Here is the file.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Der folgende Port wird geöffnet:
– windspl.exe am TCP Port 6777 um Backdoor Funktion zur Verfügung zu stellen.
Kontaktiert Server:
Den folgenden:
• http://ijj.**********
Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.
Quelle: www.avira.com
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten
Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!