Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1223

[MS/Windows] Neue Bagle/Beagle-Varianten verbreiten sich rasch
(2004-10-29 17:56:08.24832+00) Druckversion


Derzeit verbreiten sich die AU-, AV- und AW-Varianten des Bagle/Beagle-Wurmes per E-Mail und Netzwerkfreigaben. Nicht alle aktuellen Virenscanner erkennen bereits diesen Wurm. Beschreibungen zu diesen Varianten sowie ihrer Entfernung von infizierten Systemen sind u.a. bei Symantec zu finden:

Betroffene Systeme

  • Windows 95, 98, Me
  • Windows NT, 2000
  • Windows XP
  • Windows Server 2003

Einfallstor

  • E-Mail-Anhang

Auswirkung

  • Massives Versenden infizierter Nachrichten an Adressen, die auf dem infizierten System gefunden werden.
  • Verbreitung über P2P-Netzwerke, in dem eine Kopie des Wurmes in die jeweiligen share-Verzeichisse unter einem gefälschten Dateinamen abgelegt wird.
  • Öffnen einer Hintertür auf Port 2745. Diese kann von einem Angreifer dazu ausgenutzt werden, beliebige Dateien in das %Windir%-Verzeichnis zu kopieren, die dort unter dem Namen %Windir%\iuplda<x> abgelegt werden, wobei <x> ein zufälliger String ist.
  • Der Wurm versucht, verschiedene Antivirusprogramme zu beenden.

Klasse
E-Mail-Wurm

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Bagle/Beagle.J ist eine Variante des Bagle/Beagle.A-Wurmes und verbreitet sich derzeit per E-Mail. Der Wurm ist dabei in einer verschlüsselten ZIP-Datei im Anhang der Nachricht enthalten und unterläuft so die gängigen Antivirusprogramme, die Nachrichten und Anhänge auf bestimmte Muster des Wurm-Codes (sog. Signaturen) hin untersuchen. Die Nachricht selbst enthält einen Text, der auf den ersten Blick gut zur gefälschten Absenderadresse paßt und das Paßwort für den Anhang bereitstellt. Öffnet der gutgläubige Benutzer den Anhang, wird das beherbergende Rechnersystem infiziert.

Charakteristika

  • Verbreitung über E-Mail
    Bagle/Beagle.J fälscht Absenderaddressen so, daß sie für die Empfänger der Nachrichten auf den ersten Blick plausibel aussehen: der DNS-Domainname des Empfängers wird mit folgenden local-Parts kombiniert:
    • management@<Empfänger-Domainname>
      z.B.: management@Uni-Stuttgart.DE
    • administration@<Empfänger-Domainname>
    • staff@<Empfänger-Domainname>
    • noreply@<Empfänger-Domainname>
    • support@<Empfänger-Domainname>

    Folgende Betreff-Zeilen (Subject:) verwendet der Wurm:

    • E-mail account disabling warning.
    • E-mail account security warning.
    • Email account utilization warning.
    • Important notify about your e-mail account.
    • Notify about using the e-mail account.
    • Notify about your e-mail account utilization.
    • Warning about your e-mail account.

    Die Nachrichten selbst bestehen derzeit aus den folgenden Textbausteinen:
    Anrede:

    • Dear user of <Empfänger-Domainname>,
      z.B.: Dear user of <Uni-Stuttgart.DE>,
    • Dear user of <Empfänger-Domainname> gateway e-mail server,
    • Dear user of e-mail server "<Empfänger-Domainname>",
    • Hello user of <Empfänger-Domainname> e-mail server,
    • Dear user of "<Empfänger-Domainname>" mailing system,
    • Dear user, the management of <Empfänger-Domainname> mailing system wants to let you know that,
    Danach folgt einer der folgenden Abschnitte:
    • Your e-mail account has been temporary disabled because of unauthorized access.
    • Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
    • Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
    • We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
    • Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
    • Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.
    Schließlich folgt eine Zeile, die darauf hinweist, daß in der Datei im Anhang Details bzw. weitere Information zu finden ist und der Hinweis, daß diese Datei aus Sicherheitsgründen verschlüsselt wurde. Das Paßwort wird ebenfalls angegeben.

  • Verbreitung über P2P-Netzwerke
    Wenn der Wurm ein Rechnersystem infiziert, kopiert er sich in Verzeichnisse, deren Namen den String "shar" enthalten. Solche Verzeichnisse werden von File-Sharing-Software wie Kazaa und iMesh verwendet. Die Kopien des Wurms tragen dabei einen der folgenden Namen:
    • ACDSee 9.exe
    • Adobe Photoshop 9 full.exe
    • Ahead Nero 7.exe
    • Matrix 3 Revolution English Subtitles.exe
    • Microsoft Office 2003 Crack, Working!.exe
    • Microsoft Office XP working Crack, Keygen.exe
    • Microsoft Windows XP, WinXP Crack, working Keygen.exe
    • Opera 8 New!.exe
    • Porno pics arhive, xxx.exe
    • Porno Screensaver.scr
    • Porno, sex, oral, anal cool, awesome!!.exe
    • Serials.txt.exe
    • WinAmp 5 Pro Keygen Crack Update.exe
    • WinAmp 6 New!.exe
    • Windown Longhorn Beta Leak.exe
    • Windows Sourcecode update.doc.exe
    • XXX hardcore images.exe

Aliases

  • W32/Bagle.j@MM
  • W32.Beagle.J@mm

Gegenmaßnahmen

Die Verschlüsselung stellt sicher, daß der Wurm selbst im Attachment nicht von Antivirusprogrammen erkannt werden kann, da der Schlüssel zufällig gewählt wird. Antivirenprogramme können daher nur nach den begleitenden Nachrichten bzw. auf infizierten Systemen nach dem unverschlüsselten Wurm suchen.

Generelle Empfehlung (Wh)

  • Führen Sie keinerlei Attachments aus, die Sie per E-Mail erhalten1) haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
  • Kein ernstzunehmender Hersteller von System- oder Antivirussoftware verschickt Werkzeuge zur Entfernung irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine gefälschte Nachricht handelt.
  • Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.
1) Dies gilt insbesondere für Nachrichten mit Attachments, die unerwartet eintreffen und nicht einer plausiblen Kommunikationsbeziehung, z.B. im Rahmen eines Projektes, bei dem Dokumente ausgetauscht werden, zuzuordnen sind. Allerdings ist auch hier Sorgfalt geboten, einige Würmer produzieren Nachrichten, die den Anschein erwecken sollen, zu einer solchen Beziehung zu gehören.

Credits

  • Wir danken Christoph Fischer (BFK edv-consulting GmbH) für Anregungen.

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.