W32.Beagle.J@mm

[Devilfrank]

Symantec Security Response has recently received a sample of a variant of W32.Beagle@mm. This sample is currently being analyzed and further information will be made available shortly.

Current LiveUpdate definitions detect this threat as W32.Beagle.A@mm


Also Known As: W32/Bagle.j@MM [McAfee], WORM_BAGLE.J [Trend]

Type: Worm




Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Systems Not Affected: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x

http://www.symantec.com/avcenter/venc/data/[email protected]

 

[Heiko]

Ich habe gerade diesen Virus mit folgender Mail erhalten:

Date: Wed, 03 Mar 2004 15:05:05 -0800
To: [email protected]
Subject: Email account utilization warning.
From: [email protected]
Message-ID: <[email protected]>


Dear user of Computerbetrug.de gateway e-mail server,

Our main mailing server will be temporary unavaible for next two days,
to continue receiving mail in these days you have to configure our free
auto-forwarding service.

For details see the attach.

Attached file protected with the password for security reasons. Password is 65111.

Have a good day,
The Computerbetrug.de team http://www.computerbetrug.de

Das bedeutet im Klartext.

1. Der Virus ist ein einem passwortgeschützten ZIP-File. Kein Virenscanner wird also den Virus in der Datei erkennen!
2. Auch hier werden wieder Absender gefälscht. Diese Mail stammt sicher nicht von uns hier!

 

[stieglitz]

Angeblich doch, siehe untenstehende Mail. habe ich heute Mittag erhalten.
Gruß
Stieglitz





Allgemeine News. Mittwoch, März 03, 2004
******************************************************************

1. Kein Verpacken vor Kaspersky!
2. Wie können Sie die News-Services abonnieren bzw. abbestellen?
3. Sicherheitsregeln

****

1. Kein Verpacken vor Kaspersky!

Kaspersky Labs, ein international führender Experte im Bereich IT-Sicherheit zum Schutz vor Viren, Hacker-Attacken und Spam, präsentiert die weltweit erste Technologie für den Kampf gegen eine neue Generation von Netz-Würmern, die sich in passwortgeschützten ZIP-Archiven ausbreiten.

Die Verbreitung von Malware in geschützten ZIP-Archiven erschwert deutlich die Neutralisierung. Zunächst benötigt man eine erfolgreiche Passwort-Generierung zum Scannen solcher Dateien. Danach verbraucht die eigentliche Daten-Überprüfung viele System-Ressourcen und senkt demnach die Leistung des Computers beachtlich.

Die erste Malware, die sich in passwortgeschützten ZIP-Archiven ausbreitete, war der im Sommer 2003 entdeckte Mail-Wurm 'Fearso'. Seine
24 Modifizierungen machten ihn allerdings nicht so richtig berühmt.
Die letzten Muster des Wurms 'Beagle' (Versionen F, G, H, I, J), die in der Zeit vom 27. Februar - 3. März 2004 entdeckt wurden, haben allerdings die Bedrohung durch diese Art von Malware ins Gedächtnis zurückgerufen.

Unter diesen Umständen hat Kaspersky Labs eine einzigartige Technologie zum Schutz gegen Malware in passwortgeschützten ZIP-Archiven entwickelt, die Zuverlässigkeit und Geschwindigkeit verbindet. Kaspersky Anti-Virus kann nun geschützte Archive erkennen, Passwortsuche im Text der eMail durchführen und die Dateien nach Viren überprüfen.

'Die Implementierung dieser Technologie gibt dem Anwender die Möglichkeit, sich besser gegen eine neue Generation von Malware zu schützen, die sich vor Anti-Viren-Programmen in Archiven versteckt.
Die Erscheinung von 5 Netz-Würmern innerhalb von 4 Tagen demonstriert klar die neue Mode im Computer Underground', - so Eugene Kaspersky, Leiter der Anti-Viren-Forschung bei Kaspersky Labs.

Heute ist Kaspersky Anti-Virus der einzige System-Schutz gegen Viren, der effktiv Malware in passwortgeschützten ZIP-Archiven neutralisiert. Die Technologie gehört bereits zu den Updates der Anti-Viren-Dateien und kann vom Kaspersky Labs - Server heruntergeladen werden.

 

[Heiko]

Das wäre natürlich der Hammer...

 

[stieglitz]

Da passt auch noch folgende Meldung hinzu:
http://www.heise.de/newsticker/meldung/45207

übrigens eine kleine Wurmstatistik, ohne Komentar:
Statistik vom 01.02.04 - 03.03.04
Virus Name

WORM_NETSKY.C 1
WORM_MyDoom.DAM 2
WORM_BAGLE.B 5
WORM_MYDOOM.F 5
WORM_SOBER.C 98
WORM_NETSKY.D 131
PE_DUMARU.A 179
WORM_MYDOOM.A 200
WORM_NETSKY.B 379
Gesamt 1.000

 

[Counselor]

Der Virus ist ein einem passwortgeschützten ZIP-File. Kein Virenscanner wird also den Virus in der Datei erkennen!

Der Trick ist simpel. Packt man eine Datei in ein passwortgeschütztes ZIP File, dann wird der Dateiendung ein '+' angehängt. Aus 'xyz.exe' wird 'xyz.exe+'. Die Virenscanner arbeiten in der Standardeinstellung meist nur bestimmte Dateierweiterungen ab. Abhängig vom Scanner muß man also einstellen, dass er alle Dateien scannen soll oder händisch 'exe+' in die Liste der abzuarbeitenden Dateierweiterungen eintragen.

Bei uns im Netzwerk ist zB der Versand der typischen Dateianhänge dieses Wurmes mailserverseitig geblockt, und die Content/Virenscanner an den Gateways haben die Würmer recht zuverlässig abgewiesen (es wird der gesamte TCP/IP Verkehr von Contentscannern nach Viren- und Exploitsignaturen gescannt).

 

[virenscanner]

Das triffts leider nicht....
Sooo simpel ist der Trick nämlich nicht.

Auch wenn "alle Dateien" eingestellt seien sollte, kann ein Virenscanner das mit Passwort versehen ZIP-Archiv nicht scannen (solange der Virenscanner nicht das Passwort kennt).

 

[Counselor]

Wie sollte das Passwort ein Hindernis sein? Die Datei wird dadurch schliesslich nicht verschlüsselt. Ich habe es selbst an Antivir getestet und ein Bugtraq Autor bescheinigt für Norton Antivirus For Exchange das Gleiche:

http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0403&L=ntbugtraq&F=P&S=&P=70

 

[Heiko]

Erst mal: wer Symantec auf Exchange einsetzt, ist eh ziemlich schmerzfrei.

Der Trick dabei ist, dass die gängigen ZIPer die durch PW gesicherten Files mit einem "+" kennzeichnen. Damit wird dann das ganze ZIP gelöscht. Eine echte Erkennung ist das aber keinesfalls.

 

[Counselor]

Erst mal: wer Symantec auf Exchange einsetzt, ist eh ziemlich schmerzfrei.

Stimmt. Ich würde weder das eine noch das andere nehmen.

Der Trick dabei ist, dass die gängigen ZIPer die durch PW gesicherten Files mit einem "+" kennzeichnen. Damit wird dann das ganze ZIP gelöscht. Eine echte Erkennung ist das aber keinesfalls.

Das Problem war auch nicht so groß, wie es wieder dargestellt wird. Man kann E-Mail Viren auch anders bekämpfen (zB Filtern von Mails mit bestimmten Inhalten, wie PIF, ZIP etc oder Analyse von Textmustern).

 

[virenscanner]

@Counselor

Die Datei wird dadurch schliesslich nicht verschlüsselt.

[Sehr verwundert] Seit wann nicht mehr? [/sehr verwundert]

 

[Counselor]

@Counselor

Die Datei wird dadurch schliesslich nicht verschlüsselt.

[Sehr verwundert] Seit wann nicht mehr? [/sehr verwundert]

Du hast recht. Die verschlüsseln das Archiv tatsächlich. Das ändert aber auch nichts daran, dass man die betreffenden Mails unterbinden kann, ohne das ZIP anzutasten.

 

[virenscanner]

Du hast recht. Die verschlüsseln das Archiv tatsächlich.

Und ich dachte schon, ich hätte entweder Probleme mit meinen grauen Zellen oder irgendeine "Rückentwicklung" von WinZip verpasst...

Das ändert aber auch nichts daran, dass man die betreffenden Mails unterbinden kann, ohne das ZIP anzutasten.

Hier stimme ich Dir zu.
Und solange das Entpacken unter WinZip mit Hilfe des "beigelegten" Passwortes nicht zum automatischen "Ausführen" von verpackter Malware führt, sehe ich eh kein allzu grosses Problem.

Ich bin mir allerdings nicht sicher, ob nicht ein automatisches Starten der verpackten Malware möglich ist... :gruebel:

 

[Devilfrank]

Das funzt meines Wissens nicht.

 

[Counselor]

Übrigens gibt es ein kostenloses und auch für den Heimgebrauch brauchbares Tool zum Filtern von IP-Traffic:

http://www.snort.org/dl/binaries/win32/

 

[Counselor]

Die neueste Tarnung des Bagle Virus

 

[virenscanner]

Nächste Runde:

Unter diesen Umständen hat Kaspersky Labs eine einzigartige Technologie zum Schutz gegen Malware in passwortgeschützten ZIP-Archiven entwickelt, die Zuverlässigkeit und Geschwindigkeit verbindet. Kaspersky Anti-Virus kann nun geschützte Archive erkennen, Passwortsuche im Text der eMail durchführen und die Dateien nach Viren überprüfen.

Dies schien dem Bagle-Programmierer ein Dorn im Auge zu sein...
Die Bagle-Variante "O" packt das Passwort nicht mehr in den Text der Mail, sondern in eine Grafik.

 

[technofreak]

Dies schien dem Bagle-Programmierer ein Dorn im Auge zu sein...
Die Bagle-Variante "O" packt das Passwort nicht mehr in den Text der Mail, sondern in eine Grafik.

http://www.heise.de/newsticker/meldung/45533

Wie schon bei früheren Varianten ist auch bei Bagle-N wieder eine Botschaft an die NetSky-Autoren enthalten; diesmal gab man sich allerdings nicht mit einer bloßen Textnachricht im Schädlingscode zufrieden, sondern hat gleich dazu ein .jpg-Bild mit einkodiert, das die Textbotschaft mit dem Screenshot einer ASCII-Zeichnung untermalt.

 

[stieglitz]

Bei mir schlägt der heute öffters ein. Passwort als Grafik.
Das Mail kommt durch, aber der Anhang wird als Wurm erkannt
und gelöscht. Unser AV-Programm (Trend-Micro) nennt ihn
Worm_bagle.gen-1.

Ist mir bisher noch nicht über den Weg gelaufen.
Gruß
Stieglitz

 

[stieglitz]

Neue Variant Bagle_Q

Da kommt Freude auf :x

http://www.heise.de/newsticker/meldung/45716

Zitat aus Heise:

"Bei der neuen Q-Variante des Bagle-Wurms reicht es bereits aus, eine Mail zu lesen, um sich zu infizieren. Anders als bisherige Bagle-Versionen versendet sich der Wurm nicht als Anhang einer Mail, sondern lädt sich über einen Link in der Mail selbst nach. Ist beispielsweise unter Outlook die HTML-Ansicht von Mails aktiviert, so lädt die Mail über einen versteckten Link eine HTML-Datei aus dem Internet nach. Um den PC eines Anwenders ohne dessen Interaktion zu infizieren, macht sich der Wurm eine seit längerem bekannte Lücke (MS03-040) im Internet Explorer zu Nutze: Die Object-Tag-Schwachstelle ermöglicht es Angreifern, ausführbare Dateien auf den PC eines Opfers zu laden und und in dessen Kontext auszuführen. "