carookee Support-Forum

Andre · [editiert: 01.03.05, 16:20 von Andre]

WORM_BAGLE.BE
Virentypus: Trojaner
Schadenspotential: Mittel

Eingang:

03:00 bei Sophos
12:58 bei Secunia
14:58 bei uns

Ticker-Beschreibung:

kommt als Zip im Anhang der Mail
einmal entpackt holt er sich den Trojaner TROJ_BAGLE.BE
kann Antivirus- und Sicherheitsanwendungen aushebeln

Kommt mit folgende Beschreibung:
Mail-Betreff

• price
• new price

Im Anhang

• new price
• 08_price.zip
• new__price.zip
• new_price.zip
• newprice.zip
• price_08.zip
• price_new.zip
• price2.zip

Im Zip ist eine DOC_01.EXE enthalten. BITTE NICHT ÖFFNEN!

Entfernung:

Starten im abgesicherten Modus
Prozess-Struktur im Taskmanager beenden
Suche nach dem Stammordner des Wurms
Registry bearbeiten

Registrierung:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
winshost.exe = "%System%\winshost.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 95, 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP.)
In the left panel, double-click the following:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
winshost.exe = "%System%\winshost.exe"

Macht ein Update Eure Antivirensoftware!

ACHTUNG:
Norton Antivirus hat ihn bis 16:00 Uhr noch nicht erkannt. Ein Update liegt bei Symantec bis 16:00 Uhr auch noch nicht vor. Öffnet also keine Anhänge von Mails!
Geprüft und getestet.

Gruß Andre

Frank · Ort: Haßbergen

Wer unbekannte Anhänge öffnet (mit oder ohne Virenscanner) sollte vielleicht einfach mal die kostenlose Lektion erleben.

Macht jeder in der Regel nur einmal! Ich habe es auch schon gelernt! ;-)
Hilft garantiert!

Andre · Erstellt: 01.03.05, 23:16 Betreff: Re: Alarmeldung Gelb neue Bagle-Variante

Ach, ich hab so ne "new_price.zip" noch da. Wer sie haben möchte? LOL

Übrigens, Symantec erkennt Ihn jetzt auch!

Gruß und eine ungezieferfreie Woche
Andre

-Merlin- · [editiert: 01.03.05, 23:51 von -Merlin-]

Zitat: Frank

Wer unbekannte Anhänge öffnet (mit oder ohne Virenscanner) sollte vielleicht einfach mal die kostenlose Lektion erleben.

Macht jeder in der Regel nur einmal!

*grins* ich leih dir mal für ne woche meine göga aus (aber nur für den PC !) , die glaubt immer noch an das gute im anhang.-))))

ich liebe drive image ! ((-))

Gruss<br>-Merlin-

Frank · Ort: Haßbergen

Dann sei doch nicht so...
Richte Ihr einen eigenen PC ein, lade alle Lieblingsdateien rauf und dann ab die "Post"!

Andre · Erstellt: 04.03.05, 00:17 Betreff: Die blöde Hilton!

--- Paris Hilton Wurm verbreitet sich rasend schnell ---

Ein neuer Wurm verbeitet sich rasend schnell und hat in 24 Stunden rund 10% aller entdeckten Viren ausgemacht. Die Variante des Sober.K verspricht explizite Bilder von Paris Hilton, welche vor allem durch ein von einem Ex-Freund im Internet angebotenes Sex-Video für Aufsehen sorgte.

http://www.tweakpc.de/?news_id=7282&nl=1

Frank · Ort: Haßbergen

Der landet seit mindestens einer Woche täglich 3-4 mal bei mir!

Andre · Erstellt: 04.03.05, 21:51 Betreff: Re: Alarmeldung Gelb neue Bagle-Variante

Ja, der ist sehr aktiv! Läuft bei mir auch ständig in den "Sandkasten". Es scheint sogar eine neue Variante zu geben!
A.

Frank · Ort: Haßbergen

Mich interessiert eigentlich nur die Variante, wo der Betreff auch zutrifft ;-)

Andre · Erstellt: 04.03.05, 21:57 Betreff: Re: Alarmeldung Gelb neue Bagle-Variante

Übrigens: Seit gestern scheint hier eine Art Webmaster-Attacke zu laufen!
Spam mit dem Betreff: "Werbung Heiße junge und nackte teens oder vielleicht doch ein bischen Hardcore? "

Stümperhaft angelegt mit einem Link auf eine Pornoseite, welche ich hier nicht posten werde!

Ich/wir werden etwas barsch darauf reagieren, das kann ich schon mal versprechen. Das kotzt mich langsam an. Schaun wir mal wie deren Server morgen so reagiert. :-))

A.