H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de

Virenbeschreibung

av_shad.gif (1951 Byte)
 

W95/Begemont.B alias Magistr

Der W95/Begemont.B ist ein Win32 Wurm, der eine Länge von 30 KB hat. Er wurde vermutlich teilweise in Assembler geschrieben. Wird dieser Virus ausgeführt, verbleibt er resident im Arbeitsspeicher. Er infiziert andere Windows .EXE Dateien sowohl lokal als auch über ein Netzwerk. W95/Begemont.B verbreitet sich über das Internet, indem er sich mit Hilfe von Outlook Express, Nescape Messenger oder Internet Mail and News er infizierte Dateien per Email verschickt.

Wird eine infizierte Datei ausgeführt, installiert sich Begemont.B resident im Arbeitspeicher und gibt folgende Meldung aus:

Danach verbleibt er einige Minuten im Arbeitsspeicher ohne sichtbare Veränderungen am System durchzuführen.

Als erstes ändert er seinen eigenen Prozessnamen in den des Explorers. Mit Hilfer einer etwa 100 Bytes großen Routine „verschiebt“ er sich in den Arbeitspeicherbereich des Explorers und gibt sich als eine Komponente des Explorers aus. Die nächste Schadensroutine wird etwa erst 4 Minuten später von W95/Begemont.B ausgeführt.

W95/Begemont.B infiziert dann im Windows-Systemverzeichnis eine beliebige EXE-Datei. Diese wird als Autorun–Eintrag in die Registry unter HKLM\Software\Microsoft\Windows\Current Version\Run und in die WIN.INI unter “run=“ eingetragen. Somit wird W95/Begemont.B bei jedem Systemstart ausgeführt.

Als nächstes werden alle im Windows-Systemverzeichnis stehenden EXE-Dateien mit dem W95/Begemont.B infiziert. Danach sucht er alle Netzlaufwerke auf Windows-, WINNT-, Win95- oder Win98-Verzeichnisse ab. Hier infiziert er wiederum im Systemverzeichnis die .EXE Dateien und ändert den “run=“ – Eintrag der WIN.INI ab. Auch hierdurch kann er auf derart veränderten Systemen bei einem Neustart die lokale Systemumgebung infizieren.

Während der Begemont.B seine Schadensroutine ausführt, legt dieser eine DAT-Datei auf C:\ an. Der Name der Datei ist immer der Computername, der gerade unter Windows verwendet wird.

Computername   Dateiname

WIN95 WIN95.DAT
PC750M PC750M.DAT

Einen Monat, nachdem das System infiziert wurde, führt der W95/Begemont.B eine Schadensroutine aus, indem er den Inhalt aller Dateien, die auf Disketten gespeichert werden, mit dem Text “YOURESHIT“ überschreibt.

Versand per Email

Zum Versenden von Emails liest W95/Begemont.B die Einstellungen von folgenden Email-Clients direkt aus der Registry aus.

  •  Microsoft Outlook Express

  • Netscape Messanger

  • Internet Mail and News

Er entnimmt allen Email-Adressbüchern diejenigen Adressen, an die er seine infizierten Dateien verschickt. Der Dateiname für das Attachment selbst kann unterschiedlich sein. W95/Begemont.B  sucht nach EXE-Dateien mit einer Größe von bis zu 132 KByte. Diese Datei wird infiziert und als Attachment versschickt.

Der Betreff der Email wird aus Wörtern und Sätzen gebildet, die der Wurm  in verschiedenen DOC- und TXT-Dateien findet. Der Body der Email bleibt dabei leer.

Bekannte Varianten seit September 2001: W95/Magister.b

 

  weitere Virenbeschreibungen
  Virenkunde