Hallo Leute,
heute bekam ich eine Mail - mehrfach, einmal mit meiner Adresse als Absender und auch mit anderen, dem Betreff "Hi" und einer angehängten Datei (sie hieß in jeder Mail anders, das Symbol ist rechteckig und grünblau). Antivir PE bemängelt den Anhang NICHT!
Trotzdem: Ich habe diese MaAils nicht verschickt und würde euch auch nicht raten, den Anhang zu öffnen!
Ciao
Pepo
Auch ich habe zwei dieser Mails erhalten und, obwohl mir die Absender-Adresse wohlbekannt ist, erst einmal Verdacht geschöpft.
Denn Betreff "Hi" ist schon von vornherein verdächtig. Und auch der etwas wirre Inhalt mit "Test" und diversem Kauderwelsch klang nicht wirklich plausibel.
Deshalb an dieser Stelle nochmal der DRINGENDE Ratschlag:
Attachments (Anhänge) von Mails NIEMALS öffnen, wenn man nicht absolut sicher ist, daß sie wirklich ungefährlich sind!!!
Das bloße kennen der Absender-Adresse sagt ÜBERHAUPT NICHTS aus!!!
Wie man an dem aktuelle Beispiel sieht, ist es beliebig einfach, eine solche Adresse zu fälschen! :-<
Es gibt ein halbes Dutzend Virus-Varianten, die das Subject "Hi" verwenden. Das ist relativ unspezifisch. Es könnte sich um eine neue Wurm- oder Virus-Variante handeln die von Virenscannern noch nicht erkannt wird, Vorsicht ist also geboten.
Dass ein Email-Wurm mit gefälschten Absendern arbeitet und teilweise sogar mit einer eigenen SMTP-Engine, ist hingegen leider nichts Neues mehr...
Die Vermutung war richtig. Obwohl zwei aktuelle Anti-Viren-Programme nichts gefunden haben, verbirgt sich in den Anhängen ein Virus! :-<
Ich habe die Attachments an den perComp-Verlag in Hamburg weitergeleitet. Von dort kam postwendend die Antwort:
Bagle.A@mm
Es handelt sich um einen Wurm, der tatsächlich gestern (So, den 18.01.04) erstmalig aufgetreten ist und der z.Z. noch näher analysiert wird.
Weitere Infos zu diesem Wurm unter
Hier zeigt sich einmal mehr, wie wichtig es ist, Vorsicht walten zu lassen.
Andererseits sollte man verdächtige Dateien auch schnellstmöglich an Antiviren-Spezialisten weiterleiten, damit die Schutzprogramme aktuell gehalten werden können.
Im Falle des perComp-Verlags (F-PROT / FP-WIN, F-Secure, Command Antivirus, etc.) lautet die Adresse für verdächtige Dateien
Nachricht bearbeitet (19.01.2004 14:09)
Ich habe gerade die allerneuste Viren-Signatur für F-PROT / FP-WIN (Stand 19.01.04) heruntergeladen. Damit wird der neue Wurm nun erkannt.
Hallo,
so eine Mail ( Hi und Test) bekam ich von einem unserer Mitgl. ,
habe die zurückgeschickt mit der Bitte um aufklärung
Welcher ist es?
Hallo Walter,
wie wir wissen, stammte wohl auch in Deinem Fall die Mail NICHT von dem offenbaren Absender. Vielmehr war wohl auch da die Adresse gefälscht. Hoffentlich hat keiner von Euch beiden den Anhang geöffnet!
Hallo Pepo,
lies doch einfach meinen Beitrag von 14:08 Uhr "Neuen Virus enttarnt".
Da steht alles ausführlich drin.
Inzwischen melden auch die einschlägigen News-Dienste im Internet den neuen Wurm "Bagle.A", siehe z.B.
oder
Habe gerade auch die nachstehende Warn-Meldung des BSI bekommen:
----------------------------------------------------------------------------------------------
CERT-Bund -- Warn- und Informationsdienst
Informationen zu Programmen mit Schadfunktionen
VIRINFO 04/01 vom 20.01.2004
Virus-Warnung - Virus-Beschreibung
Name: W32.Beagle.A@mm
Alias: WORM_BAGLE.A [Trend]
I-Worm.Bagle[Kaspersky]
Art: Wurm
Groesse des Anhangs: 15.872 Bytes
Betriebssystem / Software: Microsoft Windows
Art der Verbreitung: Massenmail
Verbreitungsgrad: hoch
Risiko bei Aktivierung: mittel
Schadensfunktion: Massenmailing
Spezielle Entfernung: Tool
Bekannt seit: 18.01.2004
Beschreibung:
W32.Beagle.A@mm ist ein Massenmailer-Wurm, der sich ueber seine eigene
SMTP-Maschine versendet. Die Absender-Adresse wird dabei gefaelscht!
Die E-Mail hat folgende Charakteristik:
Betreff: Hi
Nachricht: Test=)
- --
Test, yep.
Name des Anhangs:.exe
Groesse des Anhangs: 15.872 Bytes
Bei Aktivierung des Anhangs geschieht folgendes:
1. Der Wurm prueft ob das Systemdatum vor dem 28. Januar 2004 steht.
Ist das Datum gleich oder groesser als der 28. Januar beendet sich
der Wurm selbst.
2. Er kopiert sich selbst unter "bbeagle.exe" in das
Windows-Systemverzeichnis.
3. Danach wird die Datei calc.exe gestartet. (Das ist der
Taschenrechner der zum Windows-Betriebssystem gehoert.)
4. Dem Registrierungsschluessel
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
wird folgender Wert zugewiesen:
"d3dupdate.exe" = "%system%\bbeagle.exe"
5. Dem Registrierungsschluessel HKEY_CURRENT_USER\Software\Windows98
wird der Wert "uid" = "[zufaelliger Wert]" und "frun" = "1"
zugewiesen.
6. Der Wurm sucht in Dateien mit den Erweiterungen .wab, .txt, .htm
und html nach E-Mail-Adressen. Die gefundenen E-Mail-Adressen werden
dann fuer die Weiterverbreitung verwendet.
Der Wurm versendet sich nicht an E-Mail-Adressen die folgenden Text
enhalten:
.r1
@hotmail.com
@msn.com
@microsoft.com
@avp.
7. Der Wurm oeffnet in einem befallen System den Port 6777 nach aussen.
Hierdurch ist es moeglich, dass der Angreifer von aussen ausfuehrbare
Dateien und Systemkommandos starten kann.
8. Der Schaedling versucht zusaetzlich alle 10 Minuten mit folgenden
Web-Seiten Kontakt aufzunehmen, um ein PHP-Script nachzuladen.
www.elrasshop.det
www-it-msc.de
www.getyourfree.net
www.dmdesign.de
64.176.228.13
www.leonzernitsky.com
216.98.136.248
216.98.134.247
www.cdromca.com
www.kunst-in-templin.de
vipweb.ru
antol-co.ru
www.bags-dostavka.mags.ru
www.5x12.ru
bose-audio.net
www.sttngdata.de
wh9.tu-dresden.de
www.micronuke.netf
www.stadthagen.org
www.beasty-cars.de
www.polohexe.de
www.bino88.de
www.grefrathpaenz.de
www.bhamidy.de
www.mystic-vws.de
www.auto-hobby-essen.de
www.polozicke.de
www.twr-music.de
www.sc-erbendorf.de
www.montania.de
www.medi-martin.de
vvcgn.de
www.ballonfoto.com
www.marder-gmbh.de
www.dvd-filme.com
www.smeangol.com
Aktuelle Signaturen von Viren-Schutzprogrammen erkennen den Wurm.
Den Wurm auf einem infizierten Rechner lokalisieren und entfernen
koennen Sie ueber eines der kostenlosen Entfernungstools von :
Symantec: FxBeagle.exe
NAI: Stinger.exe
BitDefender: Antibbgle-DE.exe
Weitere Informationen finden Sie unter:
http://www.bsi.bund.de/av/vb/beagle.htm
Fragen richten Sie bitte an. Virenmeldungen senden.
koennen Sie an
Mit freundlichen Gruessen
Ihr Team CERT-Bund
-----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
/
-----------------------------------------------------------------
====================================================
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
====================================================