So grade mal einige Seiten durch geforscht und auf gefunden. *dürfte interessant sein.
ZitatAlles anzeigen
W32.Beagle.AV@mm
Kategorie 3
Entdeckt am: 29.10.2004
Zuletzt aktualisiert am: 29.10.2004
W32.Beagle.AV@mm ist ein Massen-Mail-Wurm, der sich auch über Netzwerkfreigaben verbreitet. Der Wurm öffnet eine Hintertür auf dem TCP-Port 81.
Hinweise:
* Aufgrund der steigenden Zahl von Meldungen hat Symantec Security Response diese Bedrohung auf Kategorie 3 hochgestuft.
* Diese Bedrohung wird von Rapid Release-Definitionen mit der Folgenummer 37861 oder höher entdeckt.
Typ: Wurm
Infektionslänge: Variiert
Betroffene Systeme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Schutz
# Beta-Virusdefinitionen
29.10.2004
# Virusdefinitionen (Intelligent Updater) *
29.10.2004
# Virusdefinitionen (LiveUpdate™) **
29.10.2004
*
Die Virusdefinitionen über den Intelligent Updater werden täglich veröffentlicht.
Sie müssen aber manuell heruntergeladen und installiert werden. Klicken Sie hier um den Ladevorgang zu starten.
**
Virusdefinitionen über LiveUpdate werden in der Regel jeden Freitag veröffentlicht.
Klicken Sie hier für weitere Hinweise zum Gebrauch von LiveUpdate.
Feststellung einer Bedrohung
Im Umlauf
* Anzahl der Infektionen: 0 - 49
* Anzahl der Sites: 0 - 2
* Geografische Verbreitung: Niedrig
* Bekämpfungschance: Einfach
* Entfernung: Einfach
Bedrohungsdaten
Niedrig Niedrig Niedrig
Im Umlauf:
Niedrig
Schaden:
Niedrig
Verteilung:
Niedrig
Schaden
* Auslöser des destruktiven Auftrages: n/a
* Funktion: n/a
o E-Mail-Versand in großem Maßstab: n/a
o Löschen von Dateien: n/a
o Ändern von Dateien: n/a
o Herabsetzen der Systemleistung: n/a
o Verursachen von Systeminstabilität: n/a
o Verbreitung vertraulicher Informationen: n/a
o Veränderung von Sicherheitseinstellungen: n/a
Verteilung
* Titel der E-Mail (Betreff-Zeile): n/a
* Name des Anhangs: n/a
* Größe des Anhangs: n/a
* Datum des Anhangs: n/a
* Anschlüsse: n/a
* Gemeinsame Laufwerke: n/a
* Ziel der Infektion: n/a
Technische Details
Bei Ausführung geht W32.Beagle.AV@mm folgendermaßen vor:
1. Er erstellt eine der folgenden Dateien:
* %System%\wingo.exe
* %System%\wingo.exeopen
* %System%\wingo.exeopenopen
Möglicherweise kopiert er sich auch selbst als
* %System%\wingo.exeopenopenopen
* %System%\wingo.exeopenopenopenopen
2. Er fügt den Wert
"wingo" = "%System%\wingo.exe"
dem folgenden Registrierungsschlüssel hinzu:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.
3. Er beendet die folgenden Prozesse, die normalerweise mit anderen Würmern oder mit Sicherheitsprodukten verbunden sind:
* mcagent.exe
* mcvsshld.exe
* mcshield.exe
* mcvsescn.exe
* mcvsrte.exe
* DefWatch.exe
* Rtvscan.exe
* ccEvtMgr.exe
* NISUM.EXE
* ccPxySvc.exe
* navapsvc.exe
* NPROTECT.EXE
* nopdb.exe
* ccApp.exe
* Avsynmgr.exe
* VsStat.exe
* Vshwin32.exe
* alogserv.exe
* RuLaunch.exe
* Avconsol.exe
* PavFires.exe
* FIREWALL.EXE
* ATUPDATER.EXE
* LUALL.EXE
* DRWEBUPW.EXE
* AUTODOWN.EXE
* NUPGRADE.EXE
* OUTPOST.EXE
* ICSSUPPNT.EXE
* ICSUPP95.EXE
* ESCANH95.EXE
* AVXQUAR.EXE
* ESCANHNT.EXE
* ATUPDATER.EXE
* AUPDATE.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVXQUAR.EXE
* AVWUPD32.EXE
* AVPUPD.EXE
* CFIAUDIT.EXE
* UPDATE.EXE
* NUPGRADE.EXE
* MCUPDATE.EXE
* pavsrv50.exe
* AVENGINE.EXE
* APVXDWIN.EXE
* pavProxy.exe
* navapw32.exe
* navapsvc.exe
* ccProxy.exe
* navapsvc.exe
* NPROTECT.EXE
* SAVScan.exe
* SNDSrvc.exe
* symlcsvc.exe
* LUCOMS~1.EXE
* blackd.exe
* bawindo.exe
* FrameworkService.exe
* VsTskMgr.exe
* SHSTAT.EXE
* UpdaterUI.exe
4. Er versucht, eine Datei von einer der folgenden URLs herunterzuladen, diese unter %System%\re_file.exe zu speichern und anschließend auszuführen:
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
5. Er durchsucht die Festplatte nach Ordnern, die die Zeichenfolge "shar" enthalten, und kopiert sich selbst mit einem der folgenden Namen in diese Ordner:
* Microsoft Office 2003 Crack, Working!.exe
* Microsoft Windows XP, WinXP Crack, working Keygen.exe
* Microsoft Office XP working Crack, Keygen.exe
* Porno, sex, oral, anal cool, awesome!!.exe
* Porno Screensaver.scr
* Serials.txt.exe
* KAV 5.0
* Kaspersky Antivirus 5.0
* Porno pics arhive, xxx.exe
* Windows Sourcecode update.doc.exe
* Ahead Nero 7.exe
* Windown Longhorn Beta Leak.exe
* Opera 8 New!.exe
* XXX hardcore images.exe
* WinAmp 6 New!.exe
* WinAmp 5 Pro Keygen Crack Update.exe
* Adobe Photoshop 9 full.exe
* Matrix 3 Revolution English Subtitles.exe
* ACDSee 9.exe
6. Er versucht, die folgenden Dienste anzuhalten und zu deaktievieren:
* "SharedAccess" - Internetverbindungsfreigabe
* "wscsvc" - MS-Sicherheitscenter
7. Er öffnet eine Hintertür auf dem TCP-Port 81.
8. Er löscht alle Werte, die die folgenden Zeichenfolgen enthalten:
* My AV
* Zone Labs Client Ex
* 9XHtProtect
* Antivirus
* Special Firewall Service
* service
* Tiny AV
* ICQNet
* HtProtect
* NetDy
* Jammer2nd
* FirewallSvr
* MsInfo
* SysMonXP
* EasyAV
* PandaAVEngine
* Norton Antivirus AV
* KasperskyAVEng
* SkynetsRevenge
* ICQ Net
aus den folgenden Registrierungsschlüsseln:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
9. Er sucht in Dateien mit den folgenden Erweiterungen nach E-Mail-Adressen:
* .wab
* .txt
* .msg
* .htm
* .shtm
* .stm
* .xml
* .dbx
* .mbx
* .mdx
* .eml
* .nch
* .mmf
* .ods
* .cfg
* .asp
* .php
* .pl
* .wsh
* .adb
* .tbb
* .sht
* .xls
* .oft
* .uin
* .cgi
* .mht
* .dhtm
* .jsp
10. Er verwendet eine eigene SMTP-Engine, um E-Mails an die im obigen Schritt gefundenen E-Mail-Adressen zu senden.
Die E-Mail kann folgende Merkmale haben:
Von:
<Gefälscht>
Betreff: (Eine der folgenden Zeilen)
* Re:
* Re: Hello
* Re: Hi
* Re: Thank you!
* Re: Thanks
Nachrichtentext:
:))
Anhang: (Einer der folgenden Dateinamen)
* Price
* price
* Joke
mit der Dateierweiterung .com, .cpl, .exe oder, .scr.
Hinweis: Wenn der Anhang eine .cpl-Erweiterung hat, so wird er als W32.Beagle@mm!cpl erkannt.
Der Wurm vermeidet E-Mail-Adressen, die die nachstehenden Zeichenfolgen enthalten:
* @hotmail
* @msn
* @microsoft
* rating@
* f-secur
* news
* update
* anyone@
* bugs@
* contract@
* feste
* gold-certs@
* help@
* info@
* nobody@
* noone@
* kasp
* admin
* icrosoft
* support
* ntivi
* unix
* bsd
* linux
* listserv
* certific
* sopho
* @foo
* @iana
* free-av
* @messagelab
* winzip
* winrar
* samples
* abuse
* panda
* cafee
* spam
* pgp
* @avp.
* noreply
* local
* root@
* postmaster@
Empfehlungen
Symantec Security Response empfiehlt allen Anwendern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:
* Beenden und entfernen Sie all nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht kritisch sind, wie FTP-Clients, Telnet und einen Internetbrowser. Diese Dienste öffnen Angriffen Tür und Tor. Wenn Sie entfernt werden, bestehen weniger Angriffsflächen und Sie haben weniger Programme zu pflegen.
* Wenn eine komplexe Bedrohung über mehr als ein Netzwerkdienst verteilt wird, werden diese deaktiviert oder blockiert, bis ein Patch ausgeführt wurde.
* Halten Sie Ihre Patches immer auf dem neuesten Stand, besonders auf den Computern, auf denen öffentliche Dienste angeboten werden und auf die durch eine Firewall über z. B. http, FTP, E-Mail und DNS-Dienste zugegriffen werden kann.
* Richten Sie einen Passwortschutz ein. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf beschädigten Computern. Dies hilft Ihnen, die Folgen eines Computereinbruchs zu mindern.
* Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails, die Dateianhänge enthalten, über die häufig Viren verbreitet werden, wie Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr, blockiert oder entfernt werden.
* Isolieren Sie infizierte Computer schnell, um weiteren Schaden zu vermeiden. Führen Sie eine forensische Analyse durch und reparieren Sie den Computer mit Hilfe vertraulicher Medien.
* Schulen Sie Ihre Angestellten daraufhin, keine Anhänge zu öffnen, wenn diese unaufgefordert eingesendet werden. Führen Sie ebenfalls keine Software aus, die aus dem Internet geladen wurde, wenn die Dateien zuvor nicht auf Viren geprüft wurden. Schon der einfache Besuch einer beschädigten Internetseite kann eine Infektion hervorrufen, wenn bestimmte Browserschäden nicht repariert werden.
Entfernungsanweisungen
Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Virenschutzprodukte von Symantec, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.
1. Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP).
2. Aktualisieren Sie Ihre Virusdefinitionen.
3. Starten Sie den Computer im abgesicherten Modus oder im VGA-Modus neu.
4. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit W32.Beagle.AV@mm infiziert erkannt werden.
5. Entfernen Sie den in die Registrierung geschriebenen Wert.
Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.
1. Deaktivieren der Systemwiederherstellung (Windows Me/XP)
Wenn Sie mit Windows Me oder XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese in der Systemwiederherstellung möglicherweise mitgesichert.
Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.
Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.
Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
* Wie wird die Systemwiederherstellung in Windows Me aktiviert oder deaktiviert?
* Wie wird die Systemwiederherstellung in Windows XP aktiviert oder deaktiviert?
Hinweis: Wenn Sie das Entfernungsverfahren abgeschlossen haben und die Bedrohung erfolgreich entfernt wurde, sollten Sie die Systemwiederherstellung anhand der Anweisungen in den zuvor genannten Dokumenten wieder aktivieren.
Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455).
2. Aktualisieren der Virusdefinitionen
Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:
* Das Ausführen von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu beziehen: Diese Virusdefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (LiveUpdate).
* Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (Intelligent Updater).
Die Intelligent Updater-Virusdefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Wie werden die Virusdefinitionsdateien mit dem Intelligent Updater aktualisiert.
3. Neustarten des Computers im abgesicherten Modus oder im VGA-Modus
Fahren Sie den Computer herunter und schalten Sie ihn aus. Warten Sie mindestens 30 Sekunden und starten Sie den Computer dann im abgesicherten Modus oder VGA-Modus neu.
* Wenn Sie mit Windows 95, 98, Me, 2000 oder XP arbeiten, starten Sie den Computer im abgesicherten Modus neu. Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet.
* Wenn Sie mit Windows NT 4 arbeiten, starten Sie den Computer im VGA-Modus neu.
4. Prüfen des Computers und Löschen infizierter Dateien
1. Starten Sie Ihr Symantec Antivirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
* Für Norton AntiVirus-Privatanwenderprodukte: Lesen Sie das Dokument Norton AntiVirus zum Prüfen aller Dateien einstellen.
* Für Symantec AntiVirus Enterprise-Produkte: Lesen Sie das Dokument Wie überprüfen Sie, ob ein Symantec AntiVirus Corporate Edition-Produkt zum Prüfen aller Dateien eingestellt ist.
2. Führen Sie eine vollständige Systemprüfung durch.
3. Wenn Dateien als mit W32.Beagle.AV@mm infiziert gemeldet werden, klicken Sie auf Löschen.
Hinweis: Wenn Ihr Virenschutzprodukt von Symantec infizierte Dateien entdeckt und nicht reparieren kann, so wird die Datei möglicherweise von Windows verwendet. Um dieses Problem zu beheben, führen Sie die Prüfung im abgesicherten Modus aus. Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet. Sobald der Computer im abgesicherten Modus gestartet wurde, führen Sie die Prüfung erneut aus.
(Nachdem die Dateien gelöscht wurden, können Sie den Computer im abgesicherten Modus lassen und mit Abschnitt 2 fortfahren. Starten Sie den Computer anschließend im normalen Modus neu.)
5. Entfernen eines Werts aus der Registrierung
WARNUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu einem permanenten Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen, bevor Sie fortfahren.
1. Klicken Sie auf Start > Ausführen.
2. Geben Sie regedit ein.
Klicken Sie auf OK.
3. Suchen Sie den Schlüssel
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Löschen Sie diesen Wert im rechten Teilfenster:
"wingo" = "%System%\wingo.exe"
hoffe das hilft allen.
