Moin leute!
bin eigentlich ziemlich vorsichtig was emails angeht, aber diesmal hats mich erwischt. Hab leider Gottes die txt datei ausgeführt, weil ich dachte das es ne mail von nem kumpel wäre. hab jetzt mal im Intenet gesucht, aber nur gefunden was der Virus/Wurm bewirkt, aber nicht wie man ihn wieder wegbekommt. Hoffentlich könnt ihr mir helfen!!!
Zitat:
Gefährliche Modifikation des bereits bekannten "I-Worm.Bagle" mit dem Titel "E-Mail-Worm.Win32.Bagle.bn" unterwegs. Die infizierten E-Mails werden mit leerer Betreffzeile versandt und besitzen auch keinen Briefkörper. Der Wurmkörper, eine ZIP-Datei, die eine mit PeX gepackte exe-Datei enthält, befindet sich im E-Mail-Anhang. Die exe-Datei trägt die Bezeichnung 19_04_2005.exe und hat gepackt eine Größe von 19 KB.
Beim Starten der ausführbaren Datei wird eine Text-Datei im temporären Windows-Verzeichnis erstellt. Deren Name beginnt mit dem Tilde-Symbol und trägt die Dateiendung "txt". Der restliche Teil des Namens wird zufällig erzeugt. Bagle.bn verwendet zum Öffnen der Datei den Standard-Texteditor des befallenen Systems. Der Anwender sieht im Texteditor lediglich das Wort "Sorry" angezeigt. Im Anschluss extrahiert der Wurm die Datei winshost.exe aus dem Wurmkörper, speichert diese in das Windows-System-Verzeichnis und registriert es anschließend in der Windows Registry. Dadurch wird sichergestellt, dass der Wurm bei jedem Neustart des Rechners aktiviert wird.
Der Wurm blockiert die Arbeit diverser Antiviren-Programme und verhindert, dass eine Reihe von Einträgen in der Registry gelöscht werden. Darüber hinaus beendet der Wurm Prozesse in Verbindung mit Antiviren- und Firewall-Programmen und überschreibt die Hosts-Datei, um zu verhindern, dass der Anwender Webseiten von Antiviren-Herstellern aufrufen kann. Bagle.bn ist nicht in der Lage, sich selbst zu verbreiten. Der Wurmautor könnte jedoch auch zukünftig Spam-Techniken verwenden, um weitere Repliken des Wurms massenhaft zu verbreiten.
|
29.07.2005, 19:24
Baum-Darstellung