Informationsquellen

Symantec.com > Unternehmen > Security Response > W32.Beagle.M@mm
DIESE SEITE DRUCKEN

W32.Beagle.M@mm

Risikostufe2: Gering

Entdeckt am:
13 März 2004
Aktualisiert:
13 Februar 2007 12:22:49 PM
Auch bekannt als:
Win32.Bagle.N [Computer Associ, Bagle.N [F-Secure], W32/Bagle.n@MM [McAfee], W32/Bagle.N [Panda], W32/Bagle-N [Sophos], PE_BAGLE.N [Trend Micro], I-Worm.Bagle.n [Kaspersky]
Typ:
Worm
Infektionslänge:
Variiertetwa 21 KB - 22 KB
Betroffene Systeme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

W32.Beagle.M@mm ist ein polymorpher Massen-Mail-Wurm, der seine eigene SMTP-Engine zur Verbreitung per E-Mail verwendet. Genau wie die vorherigen Beagle-Varianten öffnet dieser Wurm eine Hintertür, auch "Backdoor" genannt (er überwacht den TCP-Port 2556), und versucht, sich über Dateifreigabe ("File Sharing")-Netzwerke zu verbreiten, indem er sich selbst in Ordner kopiert, deren Namen die Zeichenfolge "shar" enthalten. W32.Beagle.M@mm infiziert außerdem Dateien mit der Erweiterung .EXE.

Die E-Mail besitzt folgende Merkmale:

Von: Der Absender ist gefälscht und täuscht vor, von einer der folgenden Adressen in der Domäne des Empfängers zu kommen:
  • management
  • administration
  • staff
  • noreply
  • support

Betreff: Eine der folgenden Optionen:
  • Account notify
  • E-mail account disabling warning.
  • E-mail account security warning.
  • E-mail technical support message.
  • E-mail technical support warning.
  • E-mail warning
  • Email account utilization warning.
  • Email report
  • Encrypted document
  • Fax Message Received
  • Forum notify
  • Hidden message
  • Important notify
  • Important notify about your e-mail account.
  • Incoming message
  • Notify about using the e-mail account.
  • Notify about your e-mail account utilization.
  • Notify from e-mail technical support.
  • Protected message
  • RE: Protected message
  • RE: Text message
  • Re: Document
  • Re: Hello
  • Re: Hi
  • Re: Incoming Fax
  • Re: Incoming Message
  • Re: Msg reply
  • Re: Thank you!
  • Re: Thanks :)
  • Re: Yahoo!
  • Request response
  • Site changes

Anhang: Eine zufällig benannte .exe-Datei, die in einer .zip- oder .rar-Datei gespeichert ist, oder eine .pif-Datei. Die .zip- und .rar-Dateien sind möglicherweise kennwortgeschützt. Der Dateiname (ohne Erweiterung) kann einer der folgenden sein:
  • Attach
  • Details
  • Document
  • Encrypted
  • Gift
  • Info
  • Information
  • Message
  • MoreInfo
  • Readme
  • Text
  • TextDocument
  • details
  • first_part
  • pub_document
  • text_document

Hinweise:
  • Privatanwenderprodukte von Symantec, die Wurmblockierungsfunktionen unterstützen, entdecken diese Bedrohung automatisch, wenn sie versucht, den Computer zu infizieren.
  • Es gibt keinen statischen MD5-Hash-Wert für diesen Wurm.
  • Virusdefinitionen der Version 60314i (erw. Version 14.3.2004 Rev. 9) wurden herausgebracht, damit kennwortgeschützte .rar-Dateien besser entdeckt und repariert werden.






Englische Version dieses Dokuments

Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.

Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.


Termine für Antivirus-Schutz

  • Erste Rapid Release-Version13 März 2004
  • Neueste Rapid Release-Version13 März 2004
  • Erste Daily Certified-Version13 März 2004
  • Neueste Daily Certified-Version17 Januar 2008Änderung033
  • Datum der ersten Weekly Certified-Version13 März 2004
Klicken Sie hier, um eine ausführliche Beschreibung der Rapid Release- und Daily Certified-Virendefinitionen zu erhalten.

Beurteilung der Bedrohung

Im Umlauf

  • Im Umlauf:Medium
  • Anzahl der Infektionen:More than 1000
  • Anzahl der Websites:More than 10
  • Geografische Verbreitung:Medium
  • Bekämpfungschance:Easy
  • Entfernung:Moderate

Schaden

  • Schadensstufe:Medium
  • E-Mail-Versand in großem Maßstab:Sendet E-Mails an alle Adressen, die er in Dateien mit den folgenden Erweiterungen findet: . wab, .txt, .msg, .htm, .xml, .dbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .tbb, .sht, .uin, .cgi
  • Ändern von Dateien:Er sucht lokale feste Laufwerke und versucht, Dateien mit der Erweiterung .EXE zu infizieren.
  • Manipulation von Sicherheitseinstellungen:Ermöglicht nicht autorisierten Remote-Zugriff. Beendet Prozesse, die mit einigen Sicherheitsprogrammen verbunden sind.

Verteilung

  • Grad der Verteilung:High
  • Titel der E-Mail (Betreffzeile):Variiert
  • Name des Anhangs:Variiert, mit der Dateierweiterung .pif, .zip oder .rar
  • Größe des Anhangs:Etwa 22 KB
  • Ports:Überwacht den TCP-Port 2556
Dokument verfasst von:Heather Shannon
Technische Details
©1995 - 2012 Symantec Corporation
Wegweiser|
Rechtliche Hinweise|
Impressum|
Datenschutz|
Kontakt|
Weltweit|
Lizenzvereinbarungen