1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Trojaner Bagleprice3

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 20. März 2009.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    838
    Zustimmungen:
    90
    Punkte für Erfolge:
    0
    Ein Trojaner der Bagle-Familie ist wieder unterwegs. Der Trojaner wurde in englischer und deutscher Sprache per E-Mail verschickt. Im Anhang enthalten die E-Mails eine ZIP-Datei, mit der Bezeichnung PRICE, die den Trojaner enthält.
    Wenn die Datei geöffnet wird, startet der Windows-Editor Notepad. Anschließend werden verschiedene Dienste gestoppt, Dateien gelöscht und Prozesse beendet. Hauptangriffsziel dabei ist es, Anti-Virenprogramme zu beenden.
    Abschließend wird dann versucht, eine Datei von verschiedenen Internet-Servern zu laden, die weitere Schad-Programme nachlädt.

    Die E-Mail hat folgendes Aussehen

    Betreff: pric %aktuelles Datum%

    Der Dateiname des Anhangs ist einer der folgenden:
    • price%aktuelles Datum%.zip
    • new_price%aktuelles Datum%.zip
    • latest_price%aktuelles Datum%.zip

    Größe des Dateianhangs: 40.961.

    E-Mail-Text: Unterschiedlicher Text in englischer und deutscher Sprache. Der Body kann auch leer sein.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Wird Bagle ausgeführt, kopiert er sich nach: %SystemDIR%\winshost.exe

    Er benennt folgende Dateien um:

    • SPBBCSvc.exe nach SP1BBCSvc.exe
    • SNDSrvc.exe nach SND1Srvc.exe
    • ccApp.exe nach ccA1pp.exe
    • ccl30.dll nach cc1l30.dll
    • LUALL.EXE nach LUAL1L.EXE
    • AUPDATE.EXE nach AUPD1ATE.EXE
    • Luupdate.exe nach Luup1date.exe
    • RuLaunch.exe nach RuLa1unch.exe
    • CMGrdian.exe nach CM1Grdian.exe
    • Mcshield.exe nach Mcsh1ield.exe
    • outpost.exe nach outp1ost.exe
    • Avconsol.exe nach Avc1onsol.exe
    • Vshwin32.exe nach shw1in32.exe
    • VsStat.exe nach Vs1Stat.exe
    • Avsynmgr.exe nach Av1synmgr.exe
    • kavmm.exe nach kav12mm.exe
    • Up2Date.exe nach Up222Date.exe
    • KAV.exe nach K2A2V.exe
    • avgcc.exe nach avgc3c.exe
    • avgemc.exe nach avg23emc.exe
    • zatutor.exe nach zatutor.exe
    • isafe.exe nach zatu6tor.exe
    • av.dll nach is5a6fe.exe
    • vetredir.dll nach c6a5fix.exe
    • CCSETMGR.EXE nach C1CSETMGR.EXE
    • CCEVTMGR.EXE nach CC1EVTMGR.EXE
    • NAVAPSVC.EXE nach NAV1APSVC.EXE
    • NPFMNTOR.EXE nach NPFM1NTOR.EXE
    • symlcsvc.exe nach s1ymlcsvc.exe
    • ccvrtrst.dll nach ccv1rtrst.dll
    • LUINSDLL.DLL nach LUI1NSDLL.DLL
    • zlclient.exe nach zo3nealarm.exe
    • cafix.exe nach zl5avscan.dll
    • vsvault.dll nach zlcli6ent.exe

    Er erstellt folgende Datei:
    %SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

    Folgende Einträge werden aus der Windows Registry entfernt:
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
    APVXDWIN
    KAV50
    avg7_cc
    avg7_emc
    Zone Labs Client
    Symantec NetDriver Monitor
    ccApp
    NAV CfgWiz
    SSC_UserPrompt
    McAfee Guardian
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
    McAfee.InstantUpdate.Monitor
    internat.exe

    Folgende Einträge werden der Windows Registry hinzugefügt:
    [HKCU\Software\FirstRun]
    "FirstRunRR"=dword:00000001

    Folgende Prozesse werden von Bagle beendet:
    AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE; NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE; AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ESCANH95.EXE

    Folgende Dienste werden von Bagle beendet:
    AVExch32Service; AVPCC; AVUPDService; Ahnlab; task Scheduler; AlertManger; AvgCore; AvgFsh; AvgServ; AvxIni; BackWeb Client -7681197; BlackICE; CAISafe; DefWatch; F-Secure Gatekeeper Handler Starter; FSDFWD; FSMA; KAVMonitorService; KLBLMain; MCVSRte; McAfee Firewall; McAfeeFramework; McShield; McTaskManager; MonSvcNT; NISSERV; NISUM; NOD32ControlCenter; NOD32Service; NPFMntor; NProtectService; NSCTOP; NVCScheduler; NWService; Network Associates Log Service; Norman NJeeves; Norman ZANDA; Norton Antivirus Server Outbreak Manager; Outpost Firewall; OutpostFirewall; PASSRV; PAVFNSVR; PAVSRV; PCCPFW; PREVSRV; PSIMSVC; PavPrSrv; PavProt; Pavkre; PersFW; SAVFMSE; SAVScan; SBService; SNDSrvc; SPBBCSvc; SWEEPSRV.SYS; SharedAccess; SmcService; SweepNet; Symantec AntiVirus Client; Symantec Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic AntiVirus Plug-in; XCOMM; alerter; avg7alrt; avg7updsvc; avpcc; awhost32; backweb client - 4476822; backweb client-4476822; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe; dvpapi; dvpinit; fsbwsys; fsdfwd; kavsvc; mcupdmgr.exe; navapsvc; nvcoas; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; ravmon8; schscnt; sharedaccess; vsmon; wuauserv

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen