!!!!!!Warnung vor neuem Wurm!!!!!!!! - 500 Beiträge pro Seite
eröffnet am 19.12.03 09:00:11 von
neuester Beitrag 21.12.03 15:28:15 von
neuester Beitrag 21.12.03 15:28:15 von
Beiträge: 10
ID: 805.526
ID: 805.526
Aufrufe heute: 0
Gesamt: 485
Gesamt: 485
Aktive User: 0
Top-Diskussionen
Titel | letzter Beitrag | Aufrufe |
---|---|---|
vor 29 Minuten | 6177 | |
heute 18:05 | 4548 | |
vor 29 Minuten | 4249 | |
heute 18:00 | 3146 | |
vor 13 Minuten | 2543 | |
vor 28 Minuten | 2331 | |
vor 1 Stunde | 1984 | |
vor 17 Minuten | 1573 |
Meistdiskutierte Wertpapiere
Platz | vorher | Wertpapier | Kurs | Perf. % | Anzahl | ||
---|---|---|---|---|---|---|---|
1. | 1. | 17.705,72 | -0,27 | 197 | |||
2. | 2. | 146,93 | -2,00 | 93 | |||
3. | 7. | 6,6480 | -1,19 | 72 | |||
4. | 8. | 3,7650 | +0,67 | 67 | |||
5. | 5. | 0,1770 | -4,07 | 66 | |||
6. | 17. | 7,2300 | -1,03 | 46 | |||
7. | 4. | 2.388,04 | +0,36 | 41 | |||
8. | Neu! | 721,82 | -22,26 | 40 |
18 Dez 2003
Raffinierter Wurm schützt seine eigenen Prozesse
Sober.B ist ein neuer Wurm, der trotz eigener SMTP Engine und einer Verbreitungsroutine für Massenmailing eher als "Prof of concept" betrachtet werden kann und sich primär zunächst auf den Schutz des eigenen Prozesses konzentriert - dies aber gründlich.
Sober.B benutzt zur Verbreitung eine Standard-Nachricht, an die er sich anhängt und die folgende Überschriften haben kann:
Der Kannibale von Rotenburg
Du bist Ge-Hackt worden
George W. Bush plans new wars
George W. Bush wants a new war
Have you been hacked?
Hihi, ich war auf deinem Computer
Ich habe Sie Ge-hackt
You Got Hacked
Die angehängte Datei kann folgende Namen besitzen:
allfiles.cmd
Daten-Text.pif
DateiList.pif
Server.com
yourlist.pif
www.gwbush-new-wars.com
www.hcket-user-pcs.com
Wird die angehängte Datei ausgeführt, kopiert sich der Wurm mit verschiedenen Dateinamen in das Windows System-Verzeichnis:
SPOOLER.EXE
# MSCOLMON.OCX
# HUMGLY.LKUR
Anschließend erstellt der Wurm einige Schlüssel in der Windows-Registry, um sich bei jedem Systemstart unbemerkt zu laden:
# HKEY_CURRENT_USERSoftwareMicrosoftWindowsRun
# HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsRun
Zum Ende der Infektionsroutine zeigt Sober.B eine gefälschte System-Fehlermeldung mit der Beschriftung:
Header is missing
Danach durchsucht der Wurm das System und ermittelt in Dateien mit nachfolgend aufgeführten Endungen darin befindliche Email-Adressen:
abc
ade
adp
asp
cfg
dbx
doc
dsp
dsw
eml
fdb
hlp
htm
html
htt
ini
ldb
ldif
mda
mdb
mde
mdw
mht
nab
nfo
nsf
php
pst
rtf
shtm
shtml
sln
txt
vap
wab
xls
Die ermittelten Adressen sammelt der Wurm in folgender Datei und benutzt diese, um weitere Kopien des Wurms an die gefundenen Adressen zu versenden:
C:%System%mscolmon.ocx
Technischer Hintergrund:
Die Besonderheit des Wurms ist die Routine zum Eigenschutz seiner aktiven Prozesse. Sober.B startet sich grundsätzlich in zwei Instanzen. Dabei sperrt der erste Prozess den zweiten Prozess mit einem "EXCLUSIV ZUGRIFF". Dieser Schutz verhindert den Zugriff eines Virenscanners, da der Zugriff auf die "exklusiv" geschützte Datei vom System blockiert wird. Wird einer der Prozesse dennoch beendet, startet der andere Prozess den beendeten Prozess direkt wieder und verhindert auf die Weise sehr wirksam, dass zum Beispiel über den Windows Task-Manager beide Prozesse beendet werden können, um eine Säuberung des Rechners einzuleiten.
Auf die gleiche Weise überwacht Sober.B die Windows Registry und benutzt hierfür eine alte Technik, die auch für viele Trojaner bereits verwendet wurde. Wird der Autostart Eintrag des Wurms entfernt, registriert Sober.B die Entfernung und legt den Schlüssel sofort wieder neu an.
Diese Technik zusammen mit dem "Prozess Schutz" ist auf tückische Weise geeignet, den aktiven Wurm Prozess jederzeit am Leben zu erhalten. Zu einem späteren Zeitpunkt könnte der Wurm dann in aller Ruhe weitere Schadensfunktionen wie zum Beispiel die gezielte Spionage nach sensiblen Daten oder gezieltes Löschen von persönlichen- oder geschäftlichen Daten ausführen.
Wie soll man den denn wegbekommen?
Raffinierter Wurm schützt seine eigenen Prozesse
Sober.B ist ein neuer Wurm, der trotz eigener SMTP Engine und einer Verbreitungsroutine für Massenmailing eher als "Prof of concept" betrachtet werden kann und sich primär zunächst auf den Schutz des eigenen Prozesses konzentriert - dies aber gründlich.
Sober.B benutzt zur Verbreitung eine Standard-Nachricht, an die er sich anhängt und die folgende Überschriften haben kann:
Der Kannibale von Rotenburg
Du bist Ge-Hackt worden
George W. Bush plans new wars
George W. Bush wants a new war
Have you been hacked?
Hihi, ich war auf deinem Computer
Ich habe Sie Ge-hackt
You Got Hacked
Die angehängte Datei kann folgende Namen besitzen:
allfiles.cmd
Daten-Text.pif
DateiList.pif
Server.com
yourlist.pif
www.gwbush-new-wars.com
www.hcket-user-pcs.com
Wird die angehängte Datei ausgeführt, kopiert sich der Wurm mit verschiedenen Dateinamen in das Windows System-Verzeichnis:
SPOOLER.EXE
# MSCOLMON.OCX
# HUMGLY.LKUR
Anschließend erstellt der Wurm einige Schlüssel in der Windows-Registry, um sich bei jedem Systemstart unbemerkt zu laden:
# HKEY_CURRENT_USERSoftwareMicrosoftWindowsRun
# HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsRun
Zum Ende der Infektionsroutine zeigt Sober.B eine gefälschte System-Fehlermeldung mit der Beschriftung:
Header is missing
Danach durchsucht der Wurm das System und ermittelt in Dateien mit nachfolgend aufgeführten Endungen darin befindliche Email-Adressen:
abc
ade
adp
asp
cfg
dbx
doc
dsp
dsw
eml
fdb
hlp
htm
html
htt
ini
ldb
ldif
mda
mdb
mde
mdw
mht
nab
nfo
nsf
php
pst
rtf
shtm
shtml
sln
txt
vap
wab
xls
Die ermittelten Adressen sammelt der Wurm in folgender Datei und benutzt diese, um weitere Kopien des Wurms an die gefundenen Adressen zu versenden:
C:%System%mscolmon.ocx
Technischer Hintergrund:
Die Besonderheit des Wurms ist die Routine zum Eigenschutz seiner aktiven Prozesse. Sober.B startet sich grundsätzlich in zwei Instanzen. Dabei sperrt der erste Prozess den zweiten Prozess mit einem "EXCLUSIV ZUGRIFF". Dieser Schutz verhindert den Zugriff eines Virenscanners, da der Zugriff auf die "exklusiv" geschützte Datei vom System blockiert wird. Wird einer der Prozesse dennoch beendet, startet der andere Prozess den beendeten Prozess direkt wieder und verhindert auf die Weise sehr wirksam, dass zum Beispiel über den Windows Task-Manager beide Prozesse beendet werden können, um eine Säuberung des Rechners einzuleiten.
Auf die gleiche Weise überwacht Sober.B die Windows Registry und benutzt hierfür eine alte Technik, die auch für viele Trojaner bereits verwendet wurde. Wird der Autostart Eintrag des Wurms entfernt, registriert Sober.B die Entfernung und legt den Schlüssel sofort wieder neu an.
Diese Technik zusammen mit dem "Prozess Schutz" ist auf tückische Weise geeignet, den aktiven Wurm Prozess jederzeit am Leben zu erhalten. Zu einem späteren Zeitpunkt könnte der Wurm dann in aller Ruhe weitere Schadensfunktionen wie zum Beispiel die gezielte Spionage nach sensiblen Daten oder gezieltes Löschen von persönlichen- oder geschäftlichen Daten ausführen.
Wie soll man den denn wegbekommen?
Format C:
Glaubersalz für komplette Darmreinigung würde ich empfehlen
Vielleicht mit einem 2. installierten Betriebssystem?
Da muss man sich aber schon sehr gut auskennen.
Da muss man sich aber schon sehr gut auskennen.
Alle Hesteller von Anti-Vire-Software haben doch schon
ein "Gegenmittel" bzw. eine Anleitung zum Entfernen.
Guckst Du hier:
http://www.tu-berlin.de/www/software/virus/aktuell.shtml
und dann auf den gewünschten AV-Hersteller
Gruß
NmA
ein "Gegenmittel" bzw. eine Anleitung zum Entfernen.
Guckst Du hier:
http://www.tu-berlin.de/www/software/virus/aktuell.shtml
und dann auf den gewünschten AV-Hersteller
Gruß
NmA
@LMR funzt dein barebone-system jetzt????
@cartman ja zwei BS sind gut,aber dann 1X LINUX.....
@cartman ja zwei BS sind gut,aber dann 1X LINUX.....
#6
Hab ich
Hab ich
#6
Hatte gestern keine Zeit. Ich versuch´s übers WE weiter...
Hatte gestern keine Zeit. Ich versuch´s übers WE weiter...
Manche lernen es nie...
http://www.antivir.de
Kostet für Privat nix und hilft das zu verhüten !
Zusätzlich alle 14 Tage eine Sicherung des Systems
z.B. mit Norton Ghost.geht natürlich nicht wenn man für
Windows (??) eine 80 GB Platte ohne Partitionen benutzt.
http://www.antivir.de
Kostet für Privat nix und hilft das zu verhüten !
Zusätzlich alle 14 Tage eine Sicherung des Systems
z.B. mit Norton Ghost.geht natürlich nicht wenn man für
Windows (??) eine 80 GB Platte ohne Partitionen benutzt.
Beitrag zu dieser Diskussion schreiben
Zu dieser Diskussion können keine Beiträge mehr verfasst werden, da der letzte Beitrag vor mehr als zwei Jahren verfasst wurde und die Diskussion daraufhin archiviert wurde.
Bitte wenden Sie sich an feedback@wallstreet-online.de und erfragen Sie die Reaktivierung der Diskussion oder starten Sie eine neue Diskussion.
Meistdiskutiert
Wertpapier | Beiträge | |
---|---|---|
197 | ||
93 | ||
72 | ||
67 | ||
66 | ||
46 | ||
41 | ||
40 | ||
30 | ||
28 |
Wertpapier | Beiträge | |
---|---|---|
24 | ||
22 | ||
21 | ||
20 | ||
20 | ||
18 | ||
16 | ||
16 | ||
16 | ||
15 |