Trojaner Bagleprice3

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 20. März 2009.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    839
    Zustimmungen:
    90
    Punkte für Erfolge:
    28
    Ein Trojaner der Bagle-Familie ist wieder unterwegs. Der Trojaner wurde in englischer und deutscher Sprache per E-Mail verschickt. Im Anhang enthalten die E-Mails eine ZIP-Datei, mit der Bezeichnung PRICE, die den Trojaner enthält.
    Wenn die Datei geöffnet wird, startet der Windows-Editor Notepad. Anschließend werden verschiedene Dienste gestoppt, Dateien gelöscht und Prozesse beendet. Hauptangriffsziel dabei ist es, Anti-Virenprogramme zu beenden.
    Abschließend wird dann versucht, eine Datei von verschiedenen Internet-Servern zu laden, die weitere Schad-Programme nachlädt.

    Die E-Mail hat folgendes Aussehen

    Betreff: pric %aktuelles Datum%

    Der Dateiname des Anhangs ist einer der folgenden:
    • price%aktuelles Datum%.zip
    • new_price%aktuelles Datum%.zip
    • latest_price%aktuelles Datum%.zip

    Größe des Dateianhangs: 40.961.

    E-Mail-Text: Unterschiedlicher Text in englischer und deutscher Sprache. Der Body kann auch leer sein.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Wird Bagle ausgeführt, kopiert er sich nach: %SystemDIR%\winshost.exe

    Er benennt folgende Dateien um:

    • SPBBCSvc.exe nach SP1BBCSvc.exe
    • SNDSrvc.exe nach SND1Srvc.exe
    • ccApp.exe nach ccA1pp.exe
    • ccl30.dll nach cc1l30.dll
    • LUALL.EXE nach LUAL1L.EXE
    • AUPDATE.EXE nach AUPD1ATE.EXE
    • Luupdate.exe nach Luup1date.exe
    • RuLaunch.exe nach RuLa1unch.exe
    • CMGrdian.exe nach CM1Grdian.exe
    • Mcshield.exe nach Mcsh1ield.exe
    • outpost.exe nach outp1ost.exe
    • Avconsol.exe nach Avc1onsol.exe
    • Vshwin32.exe nach shw1in32.exe
    • VsStat.exe nach Vs1Stat.exe
    • Avsynmgr.exe nach Av1synmgr.exe
    • kavmm.exe nach kav12mm.exe
    • Up2Date.exe nach Up222Date.exe
    • KAV.exe nach K2A2V.exe
    • avgcc.exe nach avgc3c.exe
    • avgemc.exe nach avg23emc.exe
    • zatutor.exe nach zatutor.exe
    • isafe.exe nach zatu6tor.exe
    • av.dll nach is5a6fe.exe
    • vetredir.dll nach c6a5fix.exe
    • CCSETMGR.EXE nach C1CSETMGR.EXE
    • CCEVTMGR.EXE nach CC1EVTMGR.EXE
    • NAVAPSVC.EXE nach NAV1APSVC.EXE
    • NPFMNTOR.EXE nach NPFM1NTOR.EXE
    • symlcsvc.exe nach s1ymlcsvc.exe
    • ccvrtrst.dll nach ccv1rtrst.dll
    • LUINSDLL.DLL nach LUI1NSDLL.DLL
    • zlclient.exe nach zo3nealarm.exe
    • cafix.exe nach zl5avscan.dll
    • vsvault.dll nach zlcli6ent.exe

    Er erstellt folgende Datei:
    %SystemDIR%\wiwshost.exe (TR/Bagle.CQ.1)

    Folgende Einträge werden aus der Windows Registry entfernt:
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
    APVXDWIN
    KAV50
    avg7_cc
    avg7_emc
    Zone Labs Client
    Symantec NetDriver Monitor
    ccApp
    NAV CfgWiz
    SSC_UserPrompt
    McAfee Guardian
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run]
    McAfee.InstantUpdate.Monitor
    internat.exe

    Folgende Einträge werden der Windows Registry hinzugefügt:
    [HKCU\Software\FirstRun]
    "FirstRunRR"=dword:00000001

    Folgende Prozesse werden von Bagle beendet:
    AVXQUAR.EXE; ESCANHNT.EXE; UPGRADER.EXE; AVXQUAR.EXE; AVWUPD32.EXE; AVPUPD.EXE; CFIAUDIT.EXE; UPDATE.EXE; NUPGRADE.EXE; MCUPDATE.EXE; ATUPDATER.EXE; AUPDATE.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; FIREWALL.EXE; ATUPDATER.EXE; LUALL.EXE; DRWEBUPW.EXE; AUTODOWN.EXE; NUPGRADE.EXE; OUTPOST.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ESCANH95.EXE

    Folgende Dienste werden von Bagle beendet:
    AVExch32Service; AVPCC; AVUPDService; Ahnlab; task Scheduler; AlertManger; AvgCore; AvgFsh; AvgServ; AvxIni; BackWeb Client -7681197; BlackICE; CAISafe; DefWatch; F-Secure Gatekeeper Handler Starter; FSDFWD; FSMA; KAVMonitorService; KLBLMain; MCVSRte; McAfee Firewall; McAfeeFramework; McShield; McTaskManager; MonSvcNT; NISSERV; NISUM; NOD32ControlCenter; NOD32Service; NPFMntor; NProtectService; NSCTOP; NVCScheduler; NWService; Network Associates Log Service; Norman NJeeves; Norman ZANDA; Norton Antivirus Server Outbreak Manager; Outpost Firewall; OutpostFirewall; PASSRV; PAVFNSVR; PAVSRV; PCCPFW; PREVSRV; PSIMSVC; PavPrSrv; PavProt; Pavkre; PersFW; SAVFMSE; SAVScan; SBService; SNDSrvc; SPBBCSvc; SWEEPSRV.SYS; SharedAccess; SmcService; SweepNet; Symantec AntiVirus Client; Symantec Core LC; Tmntsrv; V3MonNT; V3MonSvc; VexiraAntivirus; VisNetic AntiVirus Plug-in; XCOMM; alerter; avg7alrt; avg7updsvc; avpcc; awhost32; backweb client - 4476822; backweb client-4476822; ccEvtMgr; ccPwdSvc; ccSetMgr; ccSetMgr.exe; dvpapi; dvpinit; fsbwsys; fsdfwd; kavsvc; mcupdmgr.exe; navapsvc; nvcoas; nwclntc; nwclntd; nwclnte; nwclntf; nwclntg; nwclnth; ravmon8; schscnt; sharedaccess; vsmon; wuauserv

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.