E-Mail-Worm.Win32.Bagle.bn!! Bitte helft mir!!!

weaselmania · 29.07.2005, 19:24

Moin leute!
bin eigentlich ziemlich vorsichtig was emails angeht, aber diesmal hats mich erwischt. Hab leider Gottes die txt datei ausgeführt, weil ich dachte das es ne mail von nem kumpel wäre. hab jetzt mal im Intenet gesucht, aber nur gefunden was der Virus/Wurm bewirkt, aber nicht wie man ihn wieder wegbekommt. Hoffentlich könnt ihr mir helfen!!!

Zitat:

Gefährliche Modifikation des bereits bekannten "I-Worm.Bagle" mit dem Titel "E-Mail-Worm.Win32.Bagle.bn" unterwegs. Die infizierten E-Mails werden mit leerer Betreffzeile versandt und besitzen auch keinen Briefkörper. Der Wurmkörper, eine ZIP-Datei, die eine mit PeX gepackte exe-Datei enthält, befindet sich im E-Mail-Anhang. Die exe-Datei trägt die Bezeichnung 19_04_2005.exe und hat gepackt eine Größe von 19 KB.

Beim Starten der ausführbaren Datei wird eine Text-Datei im temporären Windows-Verzeichnis erstellt. Deren Name beginnt mit dem Tilde-Symbol und trägt die Dateiendung "txt". Der restliche Teil des Namens wird zufällig erzeugt. Bagle.bn verwendet zum Öffnen der Datei den Standard-Texteditor des befallenen Systems. Der Anwender sieht im Texteditor lediglich das Wort "Sorry" angezeigt. Im Anschluss extrahiert der Wurm die Datei winshost.exe aus dem Wurmkörper, speichert diese in das Windows-System-Verzeichnis und registriert es anschließend in der Windows Registry. Dadurch wird sichergestellt, dass der Wurm bei jedem Neustart des Rechners aktiviert wird.

Der Wurm blockiert die Arbeit diverser Antiviren-Programme und verhindert, dass eine Reihe von Einträgen in der Registry gelöscht werden. Darüber hinaus beendet der Wurm Prozesse in Verbindung mit Antiviren- und Firewall-Programmen und überschreibt die Hosts-Datei, um zu verhindern, dass der Anwender Webseiten von Antiviren-Herstellern aufrufen kann. Bagle.bn ist nicht in der Lage, sich selbst zu verbreiten. Der Wurmautor könnte jedoch auch zukünftig Spam-Techniken verwenden, um weitere Repliken des Wurms massenhaft zu verbreiten.

felix1 · 29.07.2005, 19:34

Um zu sehen, was wirklich womit infiziert ist, mache einen escan genau nach Anleitung und poste das mit der Datei find.bat erzeugte Log.
http://www.trojaner-board.de/showthread.php?t=17492

weaselmania · 30.07.2005, 00:37

Datei C:\WINDOWS\system32\wiwshost.exe infiziert von "Email-Worm.Win32.Bagle.bj" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\system32\winshost.exe infiziert von "Email-Worm.Win32.Bagle.bn" Virus. Aktion vorgenommen: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\pxsfs.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\unvise32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-jpn.nls". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart_jpn.chm". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero BackItUp\BackItUp-Jpn.nls". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{2582BD1F-69F7-4C58-ACF7-600DB0AC1BD7}" refers to invalid object "C:\PROGRA~1\Ahead\Nero\WAVEED~1\RECORD~1.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{42A3A9AB-F7B4-40B1-B2AA-F31E35459D4A}" refers to invalid object "C:\PROGRA~1\Ahead\Nero\WAVEED~1\RECORD~1.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\Automatische Zuordnung.Map.EU" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.
Entry "HKCR\Automatische Zuordnung.Map.EU.9" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.
Entry "HKCR\Automatische Zuordnung.Template.EU.9" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPShell.HWEventHandler" refers to invalid object "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Action Taken: No Action Taken.
Entry "HKCR\WMPShell.HWEventHandler.1" refers to invalid object "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Action Taken: No Action Taken.
Datei C:\Dokumente und Einstellungen\Dirty D\Desktop\8.zip infiziert von "Email-Worm.Win32.Bagle.bn" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\Dokumente und Einstellungen\Dirty D\Lokale Einstellungen\Temp\~4B.exe infiziert von "Email-Worm.Win32.Bagle.bn" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\Dokumente und Einstellungen\Dirty D\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EDKRA1M5\osa[2].gif infiziert von "Trojan-Downloader.Win32.Small.beq" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\Dokumente und Einstellungen\Dirty D\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IZUBQ1AZ\osa[2].gif infiziert von "Email-Worm.Win32.Bagle.pac" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\RECYCLER\S-1-5-21-3369531988-3907707769-1987657003-1007\Dc1.exe infiziert von "Email-Worm.Win32.Bagle.bn" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\RECYCLER\S-1-5-21-3369531988-3907707769-1987657003-1007\Dc3.exe infiziert von "Email-Worm.Win32.Bagle.bn" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\system32\drivers\etc\hosts infiziert von "Email-Worm.Win32.Bagle.pac" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\system32\eraseme_84467.exe infiziert von "Backdoor.Win32.SdBot.xd" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\system32\i infiziert von "Trojan-Downloader.BAT.Ftp.ab" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\WINDOWS\system32\wiwshost.exe infiziert von "Email-Worm.Win32.Bagle.bj" Virus. Aktion vorgenommen: No Action Taken.
Datei D:\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.

dartus · 30.07.2005, 14:39

Hallo weaselmania,

Zitat:

Datei C:\WINDOWS\system32\eraseme_84467.exe infiziert von "Backdoor.Win32.SdBot.xd"

# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Installiert sich in der Registrierung
# Wird für DOS-Attacken verwendet

Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zur Neuinstallation geraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

29.07.2005, 19:34	#2
felix1 /// Helfer-Team	E-Mail-Worm.Win32.Bagle.bn!! Bitte helft mir!!! Um zu sehen, was wirklich womit infiziert ist, mache einen escan genau nach Anleitung und poste das mit der Datei find.bat erzeugte Log. http://www.trojaner-board.de/showthread.php?t=17492 __________________

E-Mail-Worm.Win32.Bagle.bn!! Bitte helft mir!!!

Plagegeister aller Art und deren Bekämpfung: E-Mail-Worm.Win32.Bagle.bn!! Bitte helft mir!!!