| W32/Bagle.ad | W32.Beagle.Y@mm, W32/Bagle-AD, I-Worm.Bagle.aa, Worm/Bagle.AD, WORM_BAGLE.AD |
| entdeckt | 04.07.04 |
| Typ | EXE (Win32), Wurm + Backdoor (~62 KB) |
| Verbreitung | E-Mail, P2P |
| Absenderangabe | verschieden (gefälscht!) |
| Betreff/Subject |
"Changes.." | "Encrypted document" |
"Fax Message" | "Forum notify" | "Incoming message" | "Notification" "Protected message" | "Re: Document" | "Re: Hello" | "Re: Hi" | "Re: Incoming Message" | "RE: Incoming Msg" "RE: Message Notify" | "Re: Msg reply" | "RE: Protected message" | "RE: Text message" | "Re: Thank you!" "Re: Thanks :)" | "Re: Yahoo!" | "Site changes" | "Update" |
| Nachricht | verschieden, siehe Info-Links |
| Anhang |
~62 KB, Dateiname: Details | Document | Info | Information | Message | MoreInfo | Readme | text_document | Updates Endung: .exe | .com | .cpl | .scr | .hta | .vbs | .zip (ZIP z.T. mit Passwort) |
| Symptome |
vorgetäuschte
[Fehlermeldung] Existenz der Datei loader_name.exe im System[32]-Verzeichnis sowie des Registry-Eintrags "reg_key = %System%\loader_name.exe" im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
| Schaden | E-Mail-Versand, Backdoor (Port 1234), deaktiviert Antivirus-Software, manipuliert Registry |