Neue Version des Bagle-Wurms verbreitet sich schnell

[technofreak]

http://www.heise.de/newsticker/meldung/52712

Eine neue Version des Bagle-Wurms füllt seit dem heutigen Freitagmorgen die elektronischen Briefkasten. Die Bezeichnungen der Hersteller reichen von Bagle.at bis zu Bagle.bb. Wenigstens gleichen sich die Beschreibungen: Die Betreffzeile einer wurmverseuchten Mail ist entweder leer oder enthält die kurzen Texte "Re: Hello", "Re: Thank you!", "Re: Thanks : )" oder "Re: Hi". Als Mail-text ist nur ein ": )" oder ": ))" eingetragen. Der Wurm selbst versteckt sich im beigefügten Anhang der Mail als "Price" oder "Joke" mit einer der Endungen .exe, .scr, .com oder .cpl.
Anzeige
iX-Konferenz Eclipse 3.0! Jetzt buchen!

Der Wurm versucht bekannte Antivirenprogramme zu beenden und verschickt sich von infizierten Rechnern per eigener SMTP-Engine an weitere Adressaten, die er auf dem System findet. Zudem kopiert er sich mit unterschiedlichen Dateinamen in Ordner, die die Zeichenkette "Share" enthalten. Die Hersteller von Antivirensoftware aktualisieren derzeit ihre Signaturen

Google Treffer Bagle.bb

http://vil.mcafeesecurity.com/vil/content/v_129509.htm
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AT

 

[stieglitz]

Schöner Mist!
Der Wurm ist bei uns im Netzwerk seit ca. 11.30 h bereits etwa 50 mal eingeschlagen.
Perfiderweise benutz er als Absender Teilnehmer unseres Netzwerks.
Allerdings bringt Outlook 2003 die Meldung:
Outlook hat den Zugriff auf die potentiell unsicheren Anlagen blockiert: Joke.cpl.
Inzwischen lässt auch die AV Software nichts mehr durch.

Die Ruhe der letzten Monate scheint vorbei zu sein.

Gruß
Stieglitz

 

[Devilfrank]

Wieder so ein Baukasten-Wurm.

http://www.symantec.com/avcenter/venc/data/[email protected]
http://www.symantec.com/avcenter/venc/data/[email protected]
http://www.symantec.com/avcenter/venc/data/[email protected]
Verbreitung auch über:
http://www.symantec.com/avcenter/venc/data/w32.beagle@mm!cpl.html

 

[User Nr 2528]

und schwupp, isser auch schon bei mir.
Und schwupp, isser im Eimer.
Bin gespannt, was das Teil wieder alles anrichtet.
Bei mir im Haus ist eine Familie, die sich jetzt im PC-Laden eine Fujitsu Siemens-Kiste geholt hat. Gesurft - und hauptsächlich deshalb hat man die Kiste angeschafft - wird mittels Modem - erst mal. Da fragte ich mal spaßeshalber nach, wie es mit der Sicherheit aussieht. Ach nee, wurde mir da entgegnet, das Virenzeuchs haben wir noch nicht installiert. Ob man das denn unbedingt braucht... (Originalton)
Ich hau mich weg. HAR HAR HAR

 

[Captain Picard]

http://www.bsi.de/av/vb/beagleav.htm

Beschreibung
Allgemeines

W32.Beagle.AV@mm (Beagle.AV) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet sich selbst als Anhang einer E-Mail oder über Peer-to-Peer-Netzwerke. Außerdem wird eine Backdoor installiert, die auf Port 81 auf Befehle von außen wartet.
Verbreitungsart

Der Wurm wird per E-Mail versendet, wobei er sich an auf dem Rechner gefundene E-Mail-Adressen versendet. Auch die Absenderadresse ist mit den gefundenen Adressen gefälscht. (Mehr Informationen zu gefälschten Absendern)

Betreffzeile und Inhalt der E-Mail sind zufällig gewählt, enthalten aber jeweils nur einen kurzen Text in englischer Sprache.

Momentan bekannt sind die Betreffzeilen:

* Re:
* Re: Hello
* Re: Thank you
* Re: Thanks:
* Re: Hi

Die verseuchten E-Mails enthalten Anhänge mit einem der folgenden Namen:

* Price
* price
* Joke

und einer der folgenden Dateierweiterung:

* exe
* scr
* com
* cpl
* zip

Schadfunktion

Auf einem infizierten System wird die folgende Datei abgelegt und ausgeführt:

* %System%\wingo.exe

 

[Telekomunikacja]

H+BEDV warnt vor neuem Trojaner „TR/Dldr.Bagle.BR“

H+BEDV warnt vor neuem Trojaner „ TR/Dldr.Bagle.BR “ mit dramatisch hoher Verbreitung

Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen alle Anwender der Betriebssysteme Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP sowie Windows Server 2003 vor dem Trojaner TR/Dldr.Bagle.BR. Der Trojaner verbreitet sich per Email und lädt weitere Trojaner-Komponenten nach. Das Schadens- und Verbreitungspotenzial dieser Bagle-Variante wird von den Virenexperten als äußerst hoch eingeschätzt. TR/Dldr.Bagle.BR wurde bereits im Vorfeld durch eine generische Signatur von der AntiVir-Heuristik erkannt.

TR/Dldr.Bagle.BR hat eine Größe von 36.352 Bytes. Er besitzt, wie auch seine Vorgänger, eine eigene SMTP Engine. Als SMTP Engine bezeichnen Antivirenhersteller ein Programm, das selbständig Emails verschicken kann. [...]

Quelle: antivir.de, 31. Mai 2005

 

[Telekomunikacja]

neue Bagle-Varianten

Und wieder einmal sind neue Bagle-Varianten unterwegs:
"H+BEDV warnt vor sechs neuen Trojanern der Bagle-Familie:
"TR/Bagle.CQ" bis "TR/Bagle.CU" wurden im Laufe des heutigen Abends massiv verschickt".