WinFuture-Forum.de: Viren Alarm! ( Immernoch ) - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
  • 3 Seiten +
  • 1
  • 2
  • 3

Viren Alarm! ( Immernoch )


#1 Mitglied ist offline   leonsio 

  • Gruppe: aktive Mitglieder
  • Beiträge: 512
  • Beigetreten: 08. August 02
  • Reputation: 0

geschrieben 13. August 2003 - 14:05

Schnell Windows abschotten: W32.Blaster-Nachfolger bereits im Anmarsch

Der Wurm "W32.Blaster" (auch "Lovsan" genannt) wütet seit der Nacht zum Dienstag im Internet. Der Wurm nutzt eine seit längerem bekannte RPC-Sicherheitslücke in Windows NT, 2000, XP und Server 2003 um sich in den Rechnern einzunisten.

Jetzt ist bereits ein Nachfolge-Wurm aufgetaucht, der ebenfalls diese Sicherheitslücke ausnutzt und eine größere Bedrohung darstellt. Die Antivirenspezialisten von Trend Micro haben ihn auf den Namen "WORM_RPCSDBOT.A" getauft.

Der Code des neuen Wurms gleicht größtenteils dem des "Blaster"-Wurms. Er verbreitet sich auch auf die gleiche Art und Weise wie sein Vorgänger. Von einem befallenen Rechner aus sucht der Wurm über den Port 135 per zufällig generierter IP-Adressen nach neuen Rechnern, bei denen die Windows-Sicherheitslücke noch nicht geschlossen wurde und infiziert diese dann, in dem er sich per TFTP überträgt.

Im Gegensatz zum "Blaster" enthält der Nachfolger auch eine Backdoor-Funktion und stellt damit eine größere Gefahr dar. Der Wurm öffnet auf einem befallenen System eine Verbindung zu einem IRC-Server (Internet Relay Chat) und wartet auf Befehle. Dies könnte es dem Angreifer erlauben, per Fernzugriff die Kontrolle über den Rechner zu übernehmen.

So setzt sich der Wurm fest

Während beim "Blaster"-Wurm eine Datei mit dem Namen "Msblast.exe" auf den Rechner geladen wird, nutzt der Nachfolger für den Dateinamen die unauffälligere Bezeichnung "winlogin.exe". Diese Datei wird ebenso wie die Datei " yuetyutr.dll" in das System-Verzeichnis von Windows kopiert.

Damit der Wurm bei jedem Systemstart aktiviert wird, werden folgende Registry-Einträge vorgenommen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

winlogon = "winlogin.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

NdplDeamon = "winlogin.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

winlogon = "winlogin.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = "explorer.exe winlogin.exe"

Wurm versucht hartnäckig zu "überleben"

Einmal im Speicher geladen, versucht der Wurm zu "überleben". Alle zehn Sekunden installiert er sich neu. Außerdem erstellt er ein Backup der Datei "Winlogin.exe" in einem temporären Ordner und nutzt diese Kopie, um die Datei wiederherzustellen, falls sie vom Anwender gelöscht wurde.

Alle 30 Sekunden versucht der Wurm über den API-Befehl "InternetGetConnectedState()" festzustellen, ob eine Internet-Verbindung besteht, die er dann für seine Weiterverbreitung nutzt.

So kann der Wurm bekämpft werden

Für die Erkennung und Beseitigung des Wurms bietet Trend Micro das kostenlose Tool "Sysclean" an. Außerdem wird dringend empfohlen, die von dem Wurm ausgenutzte Windows-Sicherheitslücke zu schließen. Nur so sind Sie auch vor allen künftigen Wurm-Varianten geschützt, die die Windows-Sicherheitslücke ausnutzen.

Quelle PC Welt
Trend Micro Sysclean

http://www.trendmicr...ownload/tsc.asp
0

Anzeige



#2 Mitglied ist offline   Wetter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 603
  • Beigetreten: 29. Oktober 02
  • Reputation: 0
  • Geschlecht:Männlich
  • Interessen:Wetter *g*, IT Systemelektroniker,
    meine wundervolle, machmal schwierige Freundin ;-) :D

geschrieben 13. August 2003 - 15:05

Knapp 2 Tage zu spät die Meldung :(
0

#3 Mitglied ist offline   leonsio 

  • Gruppe: aktive Mitglieder
  • Beiträge: 512
  • Beigetreten: 08. August 02
  • Reputation: 0

geschrieben 13. August 2003 - 15:40

es ist ne etwas andere version von w32.blast

:(
0

#4 Mitglied ist offline   achilleus 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.149
  • Beigetreten: 25. Februar 02
  • Reputation: 3
  • Geschlecht:Männlich
  • Wohnort:Achim b. Bremen

geschrieben 13. August 2003 - 17:41

ach ich hab hier noch nichts von dem Virus mitbekommen, selbst Muttis Rechner läuft noch *g* :(
Heil Herzog Widukind's Stamm !
Als Hirte erlaube mir, zu dienen mein Vater dir, deine Macht reichst du uns durch deine Hand, diese verbindet uns wie ein heiliges Band, wir waten durch ein Meer von Blut, gib uns dafür Kraft und Mut.
E nomine patris, et fili, et spiritus sancti!
0

#5 Mitglied ist offline   MarkusP 

  • Gruppe: aktive Mitglieder
  • Beiträge: 947
  • Beigetreten: 11. August 02
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 13. August 2003 - 17:52

Meiner is abgeriegelt :(
0

#6 Mitglied ist offline   AV 

  • Gruppe: aktive Mitglieder
  • Beiträge: 659
  • Beigetreten: 10. Juni 03
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 13. August 2003 - 18:12

HAHA @ all LinuxFreaks
Nicht nur ein Wurm für Win sondern auch für Linux (u. A.)
...heise.de

Nennt man das dann gerechten Ausgleich? :(
0

#7 Mitglied ist offline   leonsio 

  • Gruppe: aktive Mitglieder
  • Beiträge: 512
  • Beigetreten: 08. August 02
  • Reputation: 0

geschrieben 13. August 2003 - 18:38

achi, viele die nen router haben, haben das prob nicht, da er die ports teilweise sperrt :(

naja hab zwar linux, die kernel firewall reicht aus, hab hier einen link für euch

prüft online wie eure pots aussehen

https://grc.com

da gibts auch weitere interessante sicherheits tests

ich sag nur: https://grc.com/x/ne.dll?rh1dkyd2
135 RPC Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

Dieser Beitrag wurde von leonsio bearbeitet: 13. August 2003 - 18:41

0

#8 Mitglied ist offline   AV 

  • Gruppe: aktive Mitglieder
  • Beiträge: 659
  • Beigetreten: 10. Juni 03
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 13. August 2003 - 18:41

stimmt, wer hinter ner firewall sitzt hat glück, aba wer filesharing oda messenger tools laufen hat, öffnet ja die türen auch für alle und jeden, naja fast alle un fast jeden.
0

#9 Mitglied ist offline   leonsio 

  • Gruppe: aktive Mitglieder
  • Beiträge: 512
  • Beigetreten: 08. August 02
  • Reputation: 0

geschrieben 13. August 2003 - 18:42

sorry falscher link ( 2 )
klickt einfach auf shields UP test und dann unten auf common ports
0

#10 Mitglied ist offline   AV 

  • Gruppe: aktive Mitglieder
  • Beiträge: 659
  • Beigetreten: 10. Juni 03
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 13. August 2003 - 18:44

wollt schon sagen irgendwas stimmt da net
0

#11 Mitglied ist offline   leonsio 

  • Gruppe: aktive Mitglieder
  • Beiträge: 512
  • Beigetreten: 08. August 02
  • Reputation: 0

geschrieben 13. August 2003 - 18:48

https://grc.com/x/ne.dll?bh0bkyd2
0

#12 Mitglied ist offline   AV 

  • Gruppe: aktive Mitglieder
  • Beiträge: 659
  • Beigetreten: 10. Juni 03
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 13. August 2003 - 18:50

ist das normal, dass die seite etwas länger zum laden braucht?
0

#13 Mitglied ist offline   achilleus 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.149
  • Beigetreten: 25. Februar 02
  • Reputation: 3
  • Geschlecht:Männlich
  • Wohnort:Achim b. Bremen

geschrieben 13. August 2003 - 18:56

hmm .. *g*

http://winfuture-stu...ter.de/scan.png
Heil Herzog Widukind's Stamm !
Als Hirte erlaube mir, zu dienen mein Vater dir, deine Macht reichst du uns durch deine Hand, diese verbindet uns wie ein heiliges Band, wir waten durch ein Meer von Blut, gib uns dafür Kraft und Mut.
E nomine patris, et fili, et spiritus sancti!
0

#14 Mitglied ist offline   leonsio 

  • Gruppe: aktive Mitglieder
  • Beiträge: 512
  • Beigetreten: 08. August 02
  • Reputation: 0

geschrieben 13. August 2003 - 18:58

Zitat (AV: 13.08.2003, 18:50)

ist das normal, dass die seite etwas länger zum laden braucht?

ja, er scannt ja alle deine ports


@ achi, so siehts mit ner firewall/router aus, bei mir siehts etwas anders aus, bzw es stehen alle ports auf closed, bis auf paar server die grade laufen O-)
0

#15 Mitglied ist offline   AV 

  • Gruppe: aktive Mitglieder
  • Beiträge: 659
  • Beigetreten: 10. Juni 03
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 13. August 2003 - 18:59

so ähnlich siehts bei mich auch aus :blink:
0

Thema verteilen:


  • 3 Seiten +
  • 1
  • 2
  • 3

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0