HIER Viren- & Trojanerwarnungen posten!

**Ham-Master** · 27.05.09

Bagleprice4 27.05.2009

Verbreitung:--->*****
Schaden:------>*****

Ein Trojaner der Bagle-Familie (Bagleprice4) ist wieder unterwegs.
Der Trojaner wurde in englischer und deutscher Sprache per E-Mail an viele Anwender in ganz Deutschland verschickt.
Im Anhang enthalten die E-Mails eine ZIP-Datei, mit der Bezeichnung PRICE, die den Trojaner enthält.

Wenn die Datei geöffnet wird, startet der Windows-Editor Notepad. Anschließend werden verschiedene Dienste gestoppt,
Dateien gelöscht und Prozesse beendet. Hauptangriffsziel dabei ist es, Anti-Virenprogramme zu beenden.
Abschließend wird dann versucht, eine Datei von verschiedenen Internet-Servern zu laden, die weitere Schad-Programme nachlädt.

Die E-Mail hat folgendes Aussehen

Betreff – eine der folgenden:
• pric %aktuelles Datum%
• price_ %aktuelles Datum%
• price_%aktuelles Datum%
• price-%aktuelles Datum%
• price %aktuelles Datum%

Der Dateiname des Anhangs ist einer der folgenden:
• price%aktuelles Datum%.zip
• new_price%aktuelles Datum%.zip
• latest_price%aktuelles Datum%.zip

Größe des Dateianhangs: 40.961 Bytes.

E-Mail-Text: Unterschiedlicher Text in englischer und deutscher Sprache. Der Body kann auch leer sein.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Wird Bagle ausgeführt, kopiert er sich nach: %SystemDIR%\winshost.exe

Er benennt folgende Dateien um:

• SPBBCSvc.exe nach SP1BBCSvc.exe
• SNDSrvc.exe nach SND1Srvc.exe
• ccApp.exe nach ccA1pp.exe
• ccl30.dll nach cc1l30.dll
• LUALL.EXE nach LUAL1L.EXE
• AUPDATE.EXE nach AUPD1ATE.EXE
• Luupdate.exe nach Luup1date.exe
• RuLaunch.exe nach RuLa1unch.exe
• CMGrdian.exe nach CM1Grdian.exe
• Mcshield.exe nach Mcsh1ield.exe
• outpost.exe nach outp1ost.exe
• Avconsol.exe nach Avc1onsol.exe
• Vshwin32.exe nach shw1in32.exe
• VsStat.exe nach Vs1Stat.exe
• Avsynmgr.exe nach Av1synmgr.exe
• kavmm.exe nach kav12mm.exe
• Up2Date.exe nach Up222Date.exe
• KAV.exe nach K2A2V.exe
• avgcc.exe nach avgc3c.exe
• avgemc.exe nach avg23emc.exe
• zatutor.exe nach zatutor.exe
• isafe.exe nach zatu6tor.exe
• av.dll nach is5a6fe.exe
• vetredir.dll nach c6a5fix.exe
• CCSETMGR.EXE nach C1CSETMGR.EXE
• CCEVTMGR.EXE nach CC1EVTMGR.EXE
• NAVAPSVC.EXE nach NAV1APSVC.EXE
• NPFMNTOR.EXE nach NPFM1NTOR.EXE
• symlcsvc.exe nach s1ymlcsvc.exe
• ccvrtrst.dll nach ccv1rtrst.dll
• LUINSDLL.DLL nach LUI1NSDLL.DLL
• zlclient.exe nach zo3nealarm.exe
• cafix.exe nach zl5avscan.dll
• vsvault.dll nach zlcli6ent.exe

Er erstellt folgende Datei:
%SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

Folgende Einträge werden aus der Windows Registry entfernt:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
APVXDWIN
KAV50
avg7_cc
avg7_emc
Zone Labs Client
Symantec NetDriver Monitor
ccApp
NAV CfgWiz
SSC_UserPrompt
McAfee Guardian
[HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
McAfee.InstantUpdate.Monitor
internat.exe

Folgende Einträge werden der Windows Registry hinzugefügt:
[HKCU\Software\FirstRun]
"FirstRunRR"=dword:00000001

Folgende Prozesse werden von Bagle beendet:
AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE; NUPGRADE.EXE;
MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE;
AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ESCANH95.EXE

Folgende Services werden von Bagle beendet:
AVExch32Service; AVPCC; AVUPDService; Ahnlab; task Scheduler; AlertManger; AvgCore; AvgFsh; AvgServ; AvxIni; BackWeb Client -7681197; BlackICE; CAISafe; DefWatch;
F-Secure Gatekeeper Handler Starter; FSDFWD; FSMA; KAVMonitorService; KLBLMain; MCVSRte; McAfee Firewall; McAfeeFramework; McShield; McTaskManager; MonSvcNT;
NISSERV; NISUM; NOD32ControlCenter; NOD32Service; NPFMntor; NProtectService; NSCTOP; NVCScheduler; NWService; Network Associates Log Service; Norman NJeeves;
Norman ZANDA; Norton Antivirus Server Outbreak Manager; Outpost Firewall; OutpostFirewall; PASSRV; PAVFNSVR; PAVSRV; PCCPFW; PREVSRV; PSIMSVC; PavPrSrv; PavProt;
Pavkre; PersFW; SAVFMSE; SAVScan; SBService; SNDSrvc; SPBBCSvc; SWEEPSRV.SYS; SharedAccess; SmcService; SweepNet; Symantec AntiVirus Client; Symantec Core LC;
Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic AntiVirus Plug-in; XCOMM; alerter; avg7alrt; avg7updsvc; avpcc; awhost32; backweb client - 4476822; backweb client-4476822;
ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe; dvpapi; dvpinit; fsbwsys; fsdfwd; kavsvc; mcupdmgr.exe; navapsvc; nvcoas; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; ravmon8;
schscnt; sharedaccess; vsmon; wuauserv

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!

Letzte Themen:

Thema: HIER Viren- & Trojanerwarnungen posten!

Themen-Optionen

Thema durchsuchen

Anzeige

Baum-Darstellung

Bagleprice4

Ähnliche Themen

Wahnsinn, wo darr ich posten???

Was ist was? Begriffserläuterungen zu Viren & Co.

Computer vor Bot-Viren schützen

PW-Star-News hier posten!!

Keine Imei Posten ---- hier lesen!!

Berechtigungen