W32/Bagle-N ist ein E-Mail-Wurm, der sich über seine eigene SMTP-Engine an Adressen sendet, die er auf der Festplatte des befallenen Computers gefunden hat. Der Wurm sucht nach Dateien mit den Erweiterungen WAB, TXT, HTM, XML, DBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, ADB, TBB und SHT.

Wenn er ausgeführt wird, kopiert sich der Wurm in den Windows-Systemordner unter Verwendung des Namens winupd.exe.

Beachten Sie, dass W32/Bagle-N auch ein parasitischer Virus ist, der .EXE-Dateien infiziert, die sich bereits auf Ihrer Festplatte
befinden. Wenn Sie ein infiziertes Programm starten erscheint die Wurmdatei erneut, als ob Sie das infizierte E-Mail-Attachment gerade
geöffnet hätten. Stellen Sie sicher, dass auf diese Weise infizierte Dateien ersetzt oder desinfiziert werden, um ein Wiederauftreten von
winupd.exe zu verhindern.

W32/Bagle-N fügt folgenden Wert:

winupd.exe = [SYSTEM]\winupd.exe

zu folgendem Registrierungseintrag hinzu:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Dadurch startet W32/Bagle-N, sobald Sie sich an Ihrem Computer anmelden.

Die E-Mails haben folgende Merkmale:
Betreffzeilen:

E-mail account security warning.
Notify about using the e-mail account.
Warning about your e-mail account.
Important notify about your e-mail account.
Email account utilization warning.
E-mail technical support message.
E-mail technical support warning.
Email report
Important notify
Account notify
E-mail warning
Notify from e-mail technical support.
Notify about your e-mail account utilization.
E-mail account disabling warning.
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
Re: Incoming Fax
Hidden message
Fax Message Received
Protected message
RE: Protected message
Forum notify
Request response
Site changes
Re: Hi
Encrypted document

Namen der angehängten Datei:

Attach Information Details Encrypted first_part Readme Document
TextDocument details text_document pub_document MoreInfo Message

Die angehängten Dateien werden entweder als Programme (mit einer .PIF Erweiterung) oder als kennwortgeschützte Archive (mit einer .ZIP oder .RAR Erweiterung) versendet. Das Kennwort ist in der E-Mail enthalten.

W32/Bagle-N öffnet eine "Backdoor" und wartet auf Verbindungen. Wenn er einen entsprechenden Befehl erhält, versucht er, eine Datei herunterzuladen und auszuführen. W32/Bagle-N baut außerdem eine Internetverbindung zu einer remoten URL auf, und meldet so den Standort und den offenen Port von infizierten Computern.

W32/Bagle-N versucht, verschiedene Antiviren- und sicherheitsbezogene Prozesse zu beenden.

W32/Bagle-N sucht auf verknüpften Laufwerken nach Ordnern, in deren Namen die Zeichenfolge "shar" enthalten ist. Wenn ein solcher Ordner gefunden wird, kopiert sich der Wurm dorthin unter Verwendung der folgenden Dateinamen:

ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Matrix 3
Revolution English Subtitles.exe Microsoft Office 2003 Crack,
Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft
Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno
Screensaver.scr Porno pics arhive, xxx.exe Porno, sex, oral, anal
cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack
Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows
Sourcecode update.doc.exe XXX hardcore images.exe

Wiederherstellung: Bitte folgen Sie den Hinweisen zum Entfernen von Würmern.

Die Datei winupd.exe kann nicht desinfiziert werden, da die gesamte Datei von W32/Bagle-N erstellt wird. Die Datei kann also nicht wiederhergestellt werden, und die Datei kann einfach gelöscht werden.