W32/Bugbear.B (05.06.2003)

Alias-Namen: W32/Bugbear.b@MM, Win32/BugBear.B.Worm, W32/Kijmo.A-mm, PE_BUGBEAR.B , W32.Shamur. Bugbear.B
Virentyp: ausführbarer Wurm
Verbreitung: via E-Mail (nutzt auch bekannte Sicherheitslücken "I-Frame exploit" [http://www.microsoft.com/technet/tre.../MS01-020.asp] von Outlook um schon beim öffnen der Mail gestartet zu werden) und Netzwerkfreigaben. Dateinamen sind unterschiedlich, ebenso die doppelten Dateiendungen (daher VORSICHT !). Die zweite Endung kann entweder .scr, .pif oder .exe sein. Es handelt sich somit stets um eine ausführbare Datei von ca. 70 KB Grösse.
Betreff/Subject (bei E-Mail): unterschiedlich, siehe Listen unter weiterführenden Links.
Mailtext: keinen oder ein willkürlich gewählter Text des infizierten Systems, von dem der Wurm weiterverschickt worden ist.
Erkennbare Anzeichen einer Infektion: Existenz einer ausführbaren Datei im Windows - Autostart - Ordner, die einen Namen mit drei Zeichen trägt. Diesen Namen wählt der Wurm willkührlich und kann daher an dieser Stelle nicht allgemein genannt werden.
Bekannte Schäden: Verschickt sich selber über eine eigene SMTP-Routine (benötigt also kein externes Mailprogramm). Verbreitung über Netzwerkfreigabe. Die Trojanerfunktion beinhaltet aufzeichen von Tastaturfolgen und ermöglicht den Zugriff aus dem Internet auf das befallende System. Infiziert ein grosse Anzahl von Systemdateien, aber auch einige sehr bekannte EXE-Dateien häufig genutzer Anwendungen wie z.B. Acrobat Reader 4.0 & 5.0, Ad-aware, Realplayer, ACDSee und so weiter (siehe Liste weiterführender Info-Links). Versucht diverse Securityprogramme wie Virenscanner, Firewalls etc. zu terminieren. Scheinbar hat der Wurm es auch auf Geldinstitute der "halben Welt" abgesehen, da recht viele Domains (auch deutsche Banken sind dabei ! - sie grosse Liste unter Infos "McAfee") im Code enthalten sind, an die sich der Wurm scheinbar verbreiten will.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich

Informationen Englisch: McAfee | F-Secure | BitDefender | GeCAD | CAI | Norman | Kaspersky | Symantec | TrendMicro |
Informationen Deutsch: Sophos | H+BEDV |

dies waren mal die informationen von trojanerinfo.de zu diesem thema.

Quelle und Seite: http://www.trojaner-info.de/virenwar...arnungen.shtml


um auf diese seite zu gelangen einfach auf den banner klicken!

Mit großen dank an Thomas Tietz (trojaner-info.de) und dem restlichen team!
Danke fuer die erlaubniss das hier posten zu duerfen!

del

FTF

siehe auch folgenden link:

• Bugbear ist in modifizierter Version heimtückischer

del/FTF