NEWS

W32/Bagle.z@MM treibt Unsinn

Portrait des Authors


W32/Bagle.z@MM treibt Unsinn
Und wieder treibt eine neue Bagle-Version das Unwesen im Internet. W32/Bagle.z@MM heisst die neue Variante, die von McAfee mit einem mittleren Risiko eingestuft wird. Der Mail-Wurm besitzt eine eigene SMTP-Engine, um sich selbst zu verbreiten. Die Absenderadresse wird wie üblich gespooft, das Attachment kann sogar ein durch Passwort geschütztes Zip-File sein, wobei das Passwort im Text mitgeschickt wird. Der Virus kopiert sich als "drvsys.exe" in das Windows Systemverzeichnis und legt über einen Registry-Key einen Autostartup fest :

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun "drvsys.exe" = C:WINNTSYSTEM32drvsys.exe

Anschließend sucht der Virus nach Antiviren-Programmen und versucht die Prozesse zu deaktivieren. Port 2535 wird anschließend geöffnet.
Quellen und weitere Links

    Werbung

    KOMMENTARE ()