Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden Impressum 
-Forum
Sie können sich hier anmelden
Dieses Thema hat 1 Antworten
und wurde 110 mal aufgerufen
 Schwafelforum
schattenparker Offline

Prediger


Beiträge: 2.103

16.03.2004 17:14
Neue Bagle-Variante macht Virenscannern das Leben schwer Antworten

Kennwörter für verschlüsselte Archive werden als Grafik an Wurm-Mail angefügt
Seit der erste Bagle-Wurm aufgetaucht ist, sind bereits zahlreiche Abarten des Wurms erschienen. Seit dem Wochenende treibt eine neue Variante des Unholds im Internet ihr Unwesen, indem Virenscannern eine Erkennung einer Wurm-E-Mail erschwert wird. Die Kennwörter von verschlüsselten Archiven werden nicht mehr als Text in der E-Mail abgelegt, sondern als Grafikdatei an die E-Mail gehangen. Der Wurm besitzt zudem eine Viren-Schadroutine, die EXE-Dateien infiziert.
Der Wurm Bagle.N verbreitet sich unter anderem per E-Mail, wobei der Wurm-Code sich in einer komprimierten ZIP-Datei oder einem RAR-Archiv verbergen kann. Während frühere Bagle-Varianten die Kennwörter zum Entpacken des Wurm-Archivs im Klartext in den E-Mail-Text geschrieben haben, fügt Bagle.N oft eine Grafikdatei mit dem Kennwort an die E-Mail an, was die Erkennung eines Wurm-Anhangs für Virenscanner erschwert. Für E-Mail-Würmer war es bislang unüblich, dass Virentechniken verwendet werden, wie sie Bagle.N nun nutzt: Der Schädling setzt sich auf einem befallenen System fest, indem er EXE-Dateien infiziert und den Wurm-Code an diese anhängt, so dass der Unhold beim Start entsprechender Programme geladen wird.

Über einen entsprechenden, englischsprachigen Mail-Text versucht Bagle.N ein Opfer zum Öffnen des Mail-Anhangs zu bewegen, indem so getan wird, als wenn der Anhang Informationen bezüglich des Mail-Kontos enthalte. Sowohl Betreffzeile als auch Nachrichtentext werden aus einem Fundus an Textbausteinen zusammengesetzt. Wie üblich wird die Absenderadresse gefälscht, so dass der Urheber der Wurm-Verbreitung nicht auszumachen ist.

Zur Verbreitung durchsucht der Wurm die lokale Festplatte in zahlreichen Dateien nach E-Mail-Adressen und versendet sich an diese. Außerdem legt sich der Wurm mit unterschiedlichen Dateinamen in Verzeichnissen ab, deren Namen die Bezeichnung "shar" enthalten, um sich über P2P-Netzwerke wie KaZaA zu vermehren. Wurde der Wurm aktiviert, trägt er sich so in die Registry ein, dass er zusätzlich zur Infektion von EXE-Dateien bei jedem Windows-Neustart geladen wird.

Als weitere Schadroutine beendet Bagle.N etliche laufende Virenscanner, Software-Firewalls oder andere Sicherheits-Software, um ungestört seine Ziele zu verfolgen. Zudem öffnet der Wurm den TCP-Port 2556, worüber ein Angreifer Programmcode auf ein fremdes System einschleusen kann. (ip)

http://www.golem.de/0403/30259.html


Kilo-Gixxer-Gruß

Schatti






Wir können dem Leben nicht mehr Jahre, aber den Jahren mehr Leben geben!

Tom#2 Offline

elitäres Arschloch

Beiträge: 7.736

16.03.2004 18:18
#2 RE:Neue Bagle-Variante macht Virenscannern das Leben schwer Antworten

Stimmt Frank ein Fixing Tool dagegen gibt es hier

http://download.t-online.de/download/dn/92E9yRNtLW342/21945
TOM
Unterwegs im Namen des heiligen GIXXUS

Master of Desaster
http://www.suzuki-gsxr.de http://www.westgixxer.de
http://www.suzuki-biker.de
http://www.ruhrpott-teeroristen.de
Kleinanzeigenforum für Motorradteile http://210879.homepagemodules.de/

Wenn der Streifen in der Hose dunkler ist als der auf der Strasse sollte man besser Treker fahren ;-))
Ich bremse NICHT für Roller!!!

Rennkuh.... »»
 Sprung  
www.GSXR.de - Forum
Xobor Einfach ein eigenes Forum erstellen
Datenschutz