Bagle.SZ3 08.11.2009

Verbritung:--->*****
Schaden:------>*****

Zurzeit ist der Trojaner Bagle.SZ3 per E-Mail unterwegs. In einer angeblichen Zahlungsaufforderung versucht der Trojaner, sich auf dem betreffenden System zu installieren.
Die E-Mails kommen mit einer gefälschten Absender-Adresse von eBay. Der Text verweist auf den Anhang der E-Mail, den man öffnen und ausdrucken soll. Wird der Anhang aber geöffnet,
erscheint keine Rechnung, sondern der Trojaner kapert das System.

Die E-Mail hat folgendes Aussehen

Absender: „eBay Collections”, „eBay Finance”, „eBay Kundensupport”

Betreff: „Noch 14 Tage bis zu Ihrer Kontosperrung“, „Ihre eBay.de Gebuehren“

Dateianhang: „eBay-Rechnung.pdf.exe“

Größe des Dateianhangs: 20.480 Bytes

E-Mail-Text: Unterschiedlicher Text

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Er benennt folgende Dateien um:

• SPBBCSvc.exe nach SP1BBCSvc.exe
• SNDSrvc.exe nach SND1Srvc.exe
• ccApp.exe nach ccA1pp.exe
• ccl30.dll nach cc1l30.dll
• LUALL.EXE nach LUAL1L.EXE
• AUPDATE.EXE nach AUPD1ATE.EXE
• Luupdate.exe nach Luup1date.exe
• RuLaunch.exe nach RuLa1unch.exe
• CMGrdian.exe nach CM1Grdian.exe
• Mcshield.exe nach Mcsh1ield.exe
• outpost.exe nach outp1ost.exe
• Avconsol.exe nach Avc1onsol.exe
• Vshwin32.exe nach shw1in32.exe
• VsStat.exe nach Vs1Stat.exe
• Avsynmgr.exe nach Av1synmgr.exe
• kavmm.exe nach kav12mm.exe
• Up2Date.exe nach Up222Date.exe
• KAV.exe nach K2A2V.exe
• avgcc.exe nach avgc3c.exe
• avgemc.exe nach avg23emc.exe
• zatutor.exe nach zatutor.exe
• isafe.exe nach zatu6tor.exe
• av.dll nach is5a6fe.exe
• vetredir.dll nach c6a5fix.exe
• CCSETMGR.EXE nach C1CSETMGR.EXE
• CCEVTMGR.EXE nach CC1EVTMGR.EXE
• NAVAPSVC.EXE nach NAV1APSVC.EXE
• NPFMNTOR.EXE nach NPFM1NTOR.EXE
• symlcsvc.exe nach s1ymlcsvc.exe
• ccvrtrst.dll nach ccv1rtrst.dll
• LUINSDLL.DLL nach LUI1NSDLL.DLL
• zlclient.exe nach zo3nealarm.exe
• cafix.exe nach zl5avscan.dll
• vsvault.dll nach zlcli6ent.exe

Er erstellt folgende Datei:
%SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

Folgende Einträge werden aus der Windows Registry entfernt:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
APVXDWIN
KAV50
avg7_cc
avg7_emc
Zone Labs Client
Symantec NetDriver Monitor
ccApp
NAV CfgWiz
SSC_UserPrompt
McAfee Guardian
[HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
McAfee.InstantUpdate.Monitor
internat.exe

Folgende Einträge werden der Windows Registry hinzugefügt:
[HKCU\Software\FirstRun]
"FirstRunRR"=dword:00000001

Folgende Prozesse werden von Bagle beendet:
AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE;
NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; FIREWALL.EXE;
ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE; AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ESCANH95.EXE

Folgende Services werden von Bagle beendet:
AVExch32Service; AVPCC; AVUPDService; Ahnlab; task Scheduler; AlertManger; AvgCore; AvgFsh; AvgServ; AvxIni; BackWeb Client -7681197; BlackICE;
CAISafe; DefWatch; F-Secure Gatekeeper Handler Starter; FSDFWD; FSMA; KAVMonitorService; KLBLMain; MCVSRte; McAfee Firewall; McAfeeFramework;
McShield; McTaskManager; MonSvcNT; NISSERV; NISUM; NOD32ControlCenter; NOD32Service; NPFMntor; NProtectService; NSCTOP; NVCScheduler;
NWService; Network Associates Log Service; Norman NJeeves; Norman ZANDA; Norton Antivirus Server Outbreak Manager; Outpost Firewall; OutpostFirewall;
PASSRV; PAVFNSVR; PAVSRV; PCCPFW; PREVSRV; PSIMSVC; PavPrSrv; PavProt; Pavkre; PersFW; SAVFMSE; SAVScan; SBService; SNDSrvc; SPBBCSvc;
SWEEPSRV.SYS; SharedAccess; SmcService; SweepNet; Symantec AntiVirus Client; Symantec Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus;
VisNetic AntiVirus Plug-in; XCOMM; alerter; avg7alrt; avg7updsvc; avpcc; awhost32; backweb client - 4476822; backweb client-4476822; ccEvtMgr; ccPwdSvc;
ccSetMgr; ccSetMgr.exe; dvpapi; dvpinit; fsbwsys; fsdfwd; kavsvc; mcupdmgr.exe; navapsvc; nvcoas; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg; nwclnth;
ravmon8; schscnt; sharedaccess; vsmon; wuauserv

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!