Neuer Internet Wurm "I-Worm.Sobig.F"

Danke adolf........
ich habe schon alles durchsucht......und habe Gottseidank nichts drauf

lg
Camassia

Hallo Members,

Bitte macht ein WindowsUpate denn der Blasternachfolger wütet
seit gestern wieder und bei mir hat er sich heute gemeldet, das
sicherheitsupdate von Microsoft hat nicht alle Lücken geschlossen
deshalb sei es angebracht ein Update zu vollziehen.

------------ INFORMATION -----------

Schnell Windows abschotten: W32.Blaster-Nachfolger bereits im Anmarsch

Der Wurm "W32.Blaster" (auch "Lovsan" genannt) wütet seit der Nacht zum Dienstag im Internet. Der Wurm nutzt eine seit längerem bekannte RPC-Sicherheitslücke in Windows NT, 2000, XP und Server 2003 um sich in den Rechnern einzunisten.

Jetzt ist bereits ein Nachfolge-Wurm aufgetaucht, der ebenfalls diese Sicherheitslücke ausnutzt und eine größere Bedrohung darstellt. Die Antivirenspezialisten von Trend Micro haben ihn auf den Namen "WORM_RPCSDBOT.A" getauft.

Der Code des neuen Wurms gleicht größtenteils dem des "Blaster"-Wurms. Er verbreitet sich auch auf die gleiche Art und Weise wie sein Vorgänger. Von einem befallenen Rechner aus sucht der Wurm über den Port 135 per zufällig generierter IP-Adressen nach neuen Rechnern, bei denen die Windows-Sicherheitslücke noch nicht geschlossen wurde und infiziert diese dann, in dem er sich per TFTP überträgt.

Im Gegensatz zum "Blaster" enthält der Nachfolger auch eine Backdoor-Funktion und stellt damit eine größere Gefahr dar. Der Wurm öffnet auf einem befallenen System eine Verbindung zu einem IRC-Server (Internet Relay Chat) und wartet auf Befehle. Dies könnte es dem Angreifer erlauben, per Fernzugriff die Kontrolle über den Rechner zu übernehmen.

So setzt sich der Wurm fest

Während beim "Blaster"-Wurm eine Datei mit dem Namen "Msblast.exe" auf den Rechner geladen wird, nutzt der Nachfolger für den Dateinamen die unauffälligere Bezeichnung "winlogin.exe". Diese Datei wird ebenso wie die Datei " yuetyutr.dll" in das System-Verzeichnis von Windows kopiert.

Damit der Wurm bei jedem Systemstart aktiviert wird, werden folgende Registry-Einträge vorgenommen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

winlogon = "winlogin.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

NdplDeamon = "winlogin.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

winlogon = "winlogin.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = "explorer.exe winlogin.exe"

Wurm versucht hartnäckig zu "überleben"

Einmal im Speicher geladen, versucht der Wurm zu "überleben". Alle zehn Sekunden installiert er sich neu. Außerdem erstellt er ein Backup der Datei "Winlogin.exe" in einem temporären Ordner und nutzt diese Kopie, um die Datei wiederherzustellen, falls sie vom Anwender gelöscht wurde.

Alle 30 Sekunden versucht der Wurm über den API-Befehl "InternetGetConnectedState()" festzustellen, ob eine Internet-Verbindung besteht, die er dann für seine Weiterverbreitung nutzt.

So kann der Wurm bekämpft werden

Für die Erkennung und Beseitigung des Wurms bietet Trend Micro das kostenlose Tool "Sysclean" an, dessen Download Sie auf dieser Website finden. Außerdem wird dringend empfohlen, die von dem Wurm ausgenutzte Windows-Sicherheitslücke zu schließen. Nur so sind Sie auch vor allen künftigen Wurm-Varianten geschützt, die die Windows-Sicherheitslücke ausnutzen.

Ich schnalls nicht ganz....wie kommt der Wurm angekrochen?
Über Email oder wie sein Vorgänger sobald man ins Internet rein klickt?

wie sein Vorgänger......aber angeblich noch schlimmer......

lg Camassia

Oh nein.....so ein S.....:-((((

Jaaaa.....das kannst du laut sagen....ist es wirklich

Camassia :winki1:

Bis jetzt habe ich noch nichts bemerkt! EVtl. werde ich auch verschont:-)