« vorheriges nächstes »
Seiten: [1]   Nach unten

Autor Thema: Eine neue Bagle-Welle geht um  (Gelesen 434 mal)

0 Mitglieder und 2 Gäste betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 191383
  • Ohne Input kein Output
    • DVB-Cube
Eine neue Bagle-Welle geht um
« am: 03 November, 2005, 16:29 »
Mindestens sechs neue Varianten von Würmern und Trojanische Pferden werden verbreitet.

Mehrere Antivirus-Hersteller melden eine neue Welle von "Bagles". Bei dieser Familie handelt es sich zum Teil um Würmer, die sich selbst per Mail weiter verbreiten, zum Teil um Trojanische Pferde, die Spam-artig verschickt werden.

Soweit es sich bei einer Variante um einen Wurm handelt, wird er bei den meisten Antivirus-Herstellern der Bagle-Familie zugeordnet. Die Trojanischen Pferde hingegen werden von einigen Virenscannern als "Mitglieder" oder "Glieder" gemeldet, andere rechnen sie ebenfalls der Bagle-Familie zu.

Die Spam-artig verbreiteten Trojanischen Pferde sollen weitere Varianten der Schädlinge von verschiedenen Servern im Internet herunterladen. Dazu enthalten sie eine Liste mit URLs. Diese Schädlinge senden dann wiederum neue Bagle-Varianten Spam-artig per Mail an Adresslisten, die sie ebenfalls aus dem Internet laden - und nicht wie klassische Würmer auf der lokalen Festplatte suchen.

Die Mails kommen häufig ohne Betreff und enthalten nur einen sehr kurzen Text, zum Beispiel "texte". Im Anhang befindet sich eine ZIP-Datei, mit Namen wie "The_new_prices.zip", "Info_Prices.zip", "text_sms.zip", "max.zip", "Business.zip" und verschiedene andere. Darin stecken EXE-Dateien mit Namen wie zum Beispiel "1.exe", "loader.exe" oder auch "t_535475.exe".

Packt der Anwender die ZIP-Datei aus und startet die EXE, kopiert sich diese mit je nach Bagle-Variante unterschiedlichen Namen ins Windows- oder System32-Verzeichnis, legt eine DLL an und trägt sich in die Registry ein. Eine von McAfee als " W32/Bagle.dk " bezeichnete Variante benutzt die Dateinamen "hloader_exe.exe" und "hleader_dll.dll". Der Registry-Eintrag lautet dann:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
auto_hloader_key = c:\winnt\system32\hloader_exe.exe

Diese Datei wird beim Starten von Windows ausgeführt und lädt dann die DLL in den laufenden Prozess des Windows Explorers. Sie enthält eine Liste mit Adressen von Web-Servern, auf denen nach Updates Ausschau gehalten wird. Wird so eine neue Variante des Schädlings aktiviert, beginnt ein neuer Zyklus.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/123401/index.html

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )
Seiten: [1]   Nach oben
« vorheriges nächstes »