Bagle.SZ 12.10.2009

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner Bagle.SZ ist per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Schädling,
sich auf dem betreffenden System zu installieren.
Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay.
Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll.
Wenn der Anhang geöffnet wird, erscheint jedoch keine Rechnung, sondern der Trojaner kapert das System.

Die E-Mail hat folgendes Aussehen

Absender: „eBay Collections”, „eBay Finance”, „eBay Kundensupport”.

Betreff: „Ihre eBay.de Gebuehren“.

Dateianhang: „eBay-Rechnung.pdf.exe“ und ein PDF-Symbol.

Größe des Dateianhangs: 20.480 Bytes.

E-Mail-Text: Unterschiedlicher Text.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird Bagle ausgeführt, kopiert er sich nach: %SystemDIR%\winshost.exe

Er benennt folgende Dateien um:

• SPBBCSvc.exe nach SP1BBCSvc.exe
• SNDSrvc.exe nach SND1Srvc.exe
• ccApp.exe nach ccA1pp.exe
• ccl30.dll nach cc1l30.dll
• LUALL.EXE nach LUAL1L.EXE
• AUPDATE.EXE nach AUPD1ATE.EXE
• Luupdate.exe nach Luup1date.exe
• RuLaunch.exe nach RuLa1unch.exe
• CMGrdian.exe nach CM1Grdian.exe
• Mcshield.exe nach Mcsh1ield.exe
• outpost.exe nach outp1ost.exe
• Avconsol.exe nach Avc1onsol.exe
• Vshwin32.exe nach shw1in32.exe
• VsStat.exe nach Vs1Stat.exe
• Avsynmgr.exe nach Av1synmgr.exe
• kavmm.exe nach kav12mm.exe
• Up2Date.exe nach Up222Date.exe
• KAV.exe nach K2A2V.exe
• avgcc.exe nach avgc3c.exe
• avgemc.exe nach avg23emc.exe
• zatutor.exe nach zatutor.exe
• isafe.exe nach zatu6tor.exe
• av.dll nach is5a6fe.exe
• vetredir.dll nach c6a5fix.exe
• CCSETMGR.EXE nach C1CSETMGR.EXE
• CCEVTMGR.EXE nach CC1EVTMGR.EXE
• NAVAPSVC.EXE nach NAV1APSVC.EXE
• NPFMNTOR.EXE nach NPFM1NTOR.EXE
• symlcsvc.exe nach s1ymlcsvc.exe
• ccvrtrst.dll nach ccv1rtrst.dll
• LUINSDLL.DLL nach LUI1NSDLL.DLL
• zlclient.exe nach zo3nealarm.exe
• cafix.exe nach zl5avscan.dll
• vsvault.dll nach zlcli6ent.exe

Er erstellt folgende Datei:
%SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

Folgende Einträge werden der Windows Registry hinzugefügt:
[HKCU\Software\FirstRun]
"FirstRunRR"=dword:00000001

Folgende Prozesse werden von Bagle beendet:
AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE;
UPDATE.EXE; NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE;
FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE; AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE;
ICSSUPPNT.EXE; ICSUPP95.EXE; ESCANH95.EXE

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!