Bagle und Konsorten

[Philonius]

Hallo liebe Gemeinde,

erstmal ein großes Lob an Euch, dass Ihr Viren den Kampf ansagt...

Trotzdem muss ich was loswerden, was ich als 'konstruktive Kritik' ansehe.

Ich hatte neulich einen PC, welcher mit Bagle verseucht war. Ich habe hier nachgelesen und festgestellt, dass jeder Thread zu diesem Thema damit endet, das System neu aufzusetzen. Für mich ist eine Neuinstallation immer das letzte Mittel der Wahl zu dem man greift, wenn man mit seinem Latein am Ende ist oder allgemein Freude daran hat, langwierige Installationsprozesse durchzuführen. Deshalb der Tip an alle, die auch von Bagles, Beagles oder ähnlichem Schrott befallen sind:

1. AntiVir auf Linux- Boot- CD runterladen
2. System mit dieser CD booten
3. Scanner ausführen und betroffenene Files umbenennen.
4. System normal booten
5. Registry säubern (Hinweise auf die Einträge, welche man löschen oder ändern muss, findet man im Protokoll des Virenscans)
6. Antivirensoftware wieder laden und neu booten.

--> Kiste läuft erstmal wieder

Jetzt kann man sich in aller Ruhe um die umbennannte Files kümmern. Das Risiko, sich wieder zu infizieren ist relativ gering, auch wenn die Dateien verseucht sind, da ja der Virenscanner wieder läuft.

Den Scan außer acht gelassen, ist das eine Sache von ca. 10 Min. aktiver Arbeitszeit.

Auch wenn ich den 'ultimativ' zielführenden Hinweis bei euch nicht gefunden habe, haben mich Eure umfangreichen Antworten zu diesem Thema auf die richtige Spur gebracht. Dafür nochmal danke!

Falls ich das, was ich gerade geschrieben habe, einfach bei Euch nicht gefunden habe, dann nix für Ungut

Viele Grüße, P.

[raman]

Das ist das Problem, hast du wirklich alle Dateien erwischt, sind alle Passworte geaendert und der ganze "Rattenschwanz", der da hinterher kommt. Es ist moeglich, das man alles erwischt, jeder muss halt fuer sich selber entscheiden, ob er das Risiko eingehen will.

BTW: Bagle hat die "nette" Eigenschaft, sich in alle Zip und Rar Archive zu kopieren. Das sollte man bei Reinigungsversuchen nicht ausser acht lassen!

[kira]

Möchte ich auch noch etwas wichtiges dazu sagen:
Der Wurm: Schadfunktionen
Nach dem Start löscht der Wurm zunächst in der Registry des Rechners eventuell vorhandene Autostart-Einträge gängiger Antiviren-Programme, um diese dauerhaft auszuschalten. Zudem versucht er alle im Speicher laufenden Antiviren-Scanner-Prozesse zu beenden, um die Schutzsoftware auszuhebeln.
Anschließend legt der Wurm seine Schaddateien auf der Festplatte ab. Die Wurm-Dateien landen im System-Verzeichnis des Rechners, meist also in C:\\Windows\\System.
Um bei jedem Rechnerstart erneut geladen zu werden, trägt sich der Wurm unter dem Schlüssel
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVers ion\\Run
Anschließend öffnet der Wurm auf Port 2535/tcp eine Backdoor, über die ein externer Angreifer den Rechner kontrollieren kann.
das nennt man ► *Technische Kompromittierung*
Leider eine vollständige Entfernung nicht oder nur teilweise möglich, da der Wurm *W32/Bagle* richtet auf dem. jeweiligen System Schaden an!

Wie Du es gemacht hast und mit welcher Aufwand dahinter steckte!? Ein Neuaufspielen kostet weniger Zeit und Ärger als ...noch einen Vorteil gegenüber diese lange "Spielerei": danach alles 100% sauber!

gruß
argos