eDonkey-Virus : W32.Bacterra

**Xman** · 25. August 2003, 14:38

Gleich mal vorweg, der Virus hat nichts mit der Sicherheitslücke <0.30a noch mit dem gestrigen Serverausfall zu tun.

Der Virus ist schon seit paar Wochen im Umlauf und auch auf diesem Board wurde bereits von seltsamen emule-Phänomenen berichtet, die bis dato aber noch keine Erklärung fanden.

Der Wurm nennt sich W32.Bacterra.

Dieser Virus funktioniert laut Symantec nur beim edonkey-Client. Allerdings bleibt abzuwarten wann er auch für emule modifiziert wird.

Funktionsweise

1. er erstellt einen Ordner :
C:\Windows\Temp\Install\Win32\System\Backup\Donkey Bacteria

2. Er erstellt um die 300 Kopienen von sich selbst. Auffallend sind die Dateinamen die immer mit ALL VERSIONS KeyGen + Crack enden.
Beispiele:
Advanced Encode Decode Tools ALL VERSIONS KeyGen + Crack
Advanced WMA Workshop ALL VERSIONS KeyGen + Crack
AudioConvert ALL VERSIONS KeyGen + Crack
Dr.Tag ALL VERSIONS KeyGen + Crack
Auto MP3 Renamer ALL VERSIONS KeyGen + Crack
DART Karaoke Studio ALL VERSIONS KeyGen + Crack
Audio Book Creator ALL VERSIONS KeyGen + Crack
CoolSpeaking ALL VERSIONS KeyGen + Crack
Alien Shooter ALL VERSIONS KeyGen + Crack
Beach Head 2002 ALL VERSIONS KeyGen + Crack

3. Er trägt den unter 1. erstellten Ordner in die Datei shared.dat ein. Somit werden alle Dateien des Ordners über edonkey weiterverbreitet.

Nachzulesen unter:
http://securityresponse.symantec.com...erra.worm.html

Zusammenfassung:
Dateien die mit "ALL VERSIONS KeyGen + Crack" enden nach dem Download sofort mit einem neuen Virenscanner überprüfen

**Usul** · 25. August 2003, 15:08

Holla, mal eben in Emule gesucht, die sind ganz gut verbreitet. Als zusätzliches Indiz gilt vielleicht noch, das die Größe 80kb beträgt (scheint zumindestens meist so zu sein, auf der verlinkten Seite steht es auch so). Allerdings hab ich auch auffällig viele gefunden, die das gleiche Namensmuster haben, aber nur 16kb groß sind.

Ich mach den Thread mal sticky, sicher ist sicher.

böser_oachebär · 25. August 2003, 17:49

is ja ganz gut verteilt.naja hab gestern erst meinen bitdefender drüber laufen lassen also werd ich ihn mir bis heut ned geholt haben.einfach finger weg von den 80kb dateien mit den endungen.aber was macht der überhaupt außer 300 kopien von sich zuerstellen

**Xman** · 25. August 2003, 17:53

böser_oachebär,
gute Frage... es stand noch nirgends, daß er was zerstört. Wahrscheinlich macht er gar nichts außer zu nerven. Aber das reicht ja schon

Selbst wenn er harmlos ist, ist er doch ne guite Gelegenheit manchen User mal wieder aufzuwecken, damit er nicht blind runterlädt und auch an das regelmäßige Upgrad der Virenscanner denkt.

Frizz · 25. August 2003, 20:14

Es schadet also nichts, ab und zu beim Edonkey mal den 'shared'-Knopf zu drücken, um zu schauen, was das Tierchen so alles verbreiten will.

@Xman:

Man sollte alle ausführbaren Dateien scannen, bevor man sie startet.

Blacklotus · 25. August 2003, 21:28

Also ich würde mir keine großen Sorgen wegen diesem Wurm machen, denn:

1. Der Virus macht keinen Schaden.
2. Der Virus braucht die VB 6 dll damit er überhaupt läuft
3. Der Virus findet eMule nur wenn es sich auf Partition C: befindet.
4. Der Virus hat min 2 Programmierfehler mit denen er selbst verhindert, dass er sich reproduzieren kann.
5. der Virus hat immer follgendes plumpes aussehen, an dem ihr erkennt das ihr ihn gestartet habt. (Überschrift ist variabel) (Das Formular bekommt ihr nur zu sehen wenn es der Virus schafft sich selbst zu starten

)

Wenn ihr keinen Virenscanner habt oder selbst prüfen wollt ob ihr mit Virus infiziert seit macht ihr einfach follgendes:

existiert der folgende Registryschlüssel seit ihr infiziert:
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\DonkeyBacteria\Infected

Seit ihr infiziert macht ihr folgendes :

1. Registryzweig löschen.
2. Von eurer eMule sharedir.dat den Schreibschutz nehmen und C:\Windows\Temp\Install\Win32\System\Backup\Donkey Bacteria aus dem file löschen
3. den ordner C:\Windows\Temp\Install\Win32\System\Backup\Donkey Bacteria
löschen.
4. Euer Incoming auf Files mit der Größe 80kb überprüfen. Habt ihr solche files erkennt ihr am Icon und dem Versionsinfo das es der W32.Bacterra Wurm ist. Diese dann natürlich auch löschen.

**Xman** · 25. August 2003, 22:05

Blacklotus,
na Du mußt Dir wohl auch jedes Programm zum testen runterladen ?

thx for info

Blacklotus · 25. August 2003, 22:38

Zitat:

Zitat von Xman

Blacklotus,
na Du mußt Dir wohl auch jedes Programm zum testen runterladen

Stimmt genau

hubutz · 26. August 2003, 10:45

Hmm... Klingt net... Aber vielleicht ist er auch nur zur Überlastung der Server gedacht... Ausserdem legt er doch den eDonkey des Befallen auch ziemlich lahm, oder? Ich dachte immer viele Dateien im Shared würde eMule Probleme machen, weiss ja net wie das beim Donkey ist, hatte den noch net drauf...

Frizz · 26. August 2003, 18:20

Zitat:

Zitat von hubutz

...Ich dachte immer viele Dateien im Shared würde eMule Probleme machen, weiss ja net wie das beim Donkey ist, hatte den noch net drauf...

Der Edonkey hat keine Probleme mit endlosen Freigaben und endlosen Downloads. Wenn man allerdings zuviele Dateien hat und haben will, greift der 'Horde'-Effekt nicht so ganz.
Mit dem Muli durfte man dies <0.30 nicht machen, da wurde man kaltlächelnd geblacklisted und als DAU belächelt.

(Den Rest verkneif ich mir, werde sonst wieder cholerisch.)

*Heledir* · 6. September 2003, 11:03

Mein Norton Antivirus bringt folgende Meldung:

W32.HLLP.Handy in der Datei 015.part!

Diese Datei heisst Security Patch für Internet Explorer 6.0 [Deutsch].exe - diese Datei ist im DL Fenster, ich habe sie aber nie angeklickt! Wenn ich die lösche taucht dann irgendwann wieder plötzlich eine andere Datei mit der selben Norton Meldung auf.

Ist das der gleiche Wurm - das Verhallten ist ganz anders, als von euch beschrieben...

**Xman** · 6. September 2003, 11:10

*Heledir*,
Es ist durchaus normal, daß nach einiger Zeit dutzende veränderte Versionen eines Viruses/Wurms im Umlauf sind.
Ganz oben schrieb ich ja noch, daß dieser Wurm sich nur über edonkey verbreitet. Es dauerte nur kurze Zeit und er wurde auf emule angepaßt.

Ich würde an Deiner Stelle fragliche Downloads löschen und den emule erst mal gut im Auge behalten. Desweiteren mit dem neusten Virenscanner das System die nächste Zeit häufiger scannen.

*Heledir* · 6. September 2003, 12:05

Thx Xman, ich hab ein paar infos gefunden. Den Virus gibts schon seit November - er wurde auch von Norton erkannt und gelöscht, ich hab nur keine Lust das ab sofort 3 mal am Tag zu machen, grrrr.

*Heledir* · 6. September 2003, 22:46

Die Dateien hat doch ein Kumpel von mir downgeloaded, nicht der Virus.

absurd-wetterau · 14. September 2003, 20:27

hmm den quelltext hat keiner zufällig parat oder ? aber wenn er wie du schon gesagt hast schlampig programmiert ist dann muß man sich keine sorgen machen das ernster schaden entstehen kann

Ähnliche Themen: eDonkey-Virus : W32.Bacterra