|
RedDiamonds Dream Board Sims, Mineralien, Bonsai und noch vieles mehr!
|
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
Zaubi Administrator
Anmeldungsdatum: 30.04.2003 Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
Verfasst am: 24.05.2004, 12:22 Titel: Bobax A - C (Sasser-ähnlich) |
|
|
W32/Bobax-A
Zitat: |
W32/Bobax-A ist ein Netzwerkwurm mit Backdoorfunktionalität.
W32/Bobax-A legt eine zufällig benannte dll im temp-Ordner ab, die alle Hauptfunktionen des Wurms enthält.
Die Programmkomponente wird mit einem zufälligen Dateinamen in den Windows-Systemordner kopiert und erstellt einen zufällig benannten Wert in folgenden Registrierungseinträgen, so dass der Wurm gestartet wird, sobald sich ein Benutzer an Windows anmeldet:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Die DLL wird in den Explorer-Prozess geladen und sendet zuerst eine Anfrage an einen Hacker an einem Computer in einer der folgenden Domänen:
dns4biz.org
hopto.org
no-ip.info
W32/Bobax-A erstellt eine Backdoor zu dem befallenen Computer. Ein Angreifer kann dann über diese Backdoor den Wurm anweisen, nach zufälligen IP-Adressen für Computer zu suchen, auf die sich der Wurm mit Hilfe der LSASS-Schwachstelle kopieren kann. Diese Schwachstelle wird Berichten zufolge mit dem Microsoft Security Bulletin MS04-011 behoben. |
Quelle: Sophos
http://www.sophos.de/virusinfo/analyses/w32bobaxa.html _________________
Engel fliegen leise! |
|
Nach oben |
|
|
Zaubi Administrator
Anmeldungsdatum: 30.04.2003 Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
Verfasst am: 24.05.2004, 12:26 Titel: |
|
|
W32/Bobax-C
TrojanProxy.Win32.Bobax.c, W32/Bobax.worm.c, Win32/Bobax.B, W32.Bobax.C
Zitat: |
W32/Bobax-C ist ein Sasser-ähnlicher Wurm, der für seine Verbreitung die MS04-011 (LSASS.exe) Schwachstelle ausnutzt.
Wenn er ausgeführt wird, erstellt W32/Bobax-C eine Helper-DLL mit einem zufälligen Namen im temp-Ordner. Wenn die DLL geladen wird, kopiert sich die ausführbare Komponente unter Verwendung eines zufälligen Namens in den Windows-Systemordner.
W32/Bobax-C erstellt die folgenden Registrierungseinträge, damit er bei der Benutzeranmeldung gestartet wird:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
<Name aus acht zufälligen Zeichen> = <Pfad zum Wurm>
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
<Name aus acht zufälligen Zeichen> = <Pfad zum Wurm>
Diese DLL wird als separater Thread in den Explorer eingefügt, so dass sie nicht als einzelner Prozess sichtbar ist.
Der Wurm wartet an einem zufällig gewählten TCP-Port im Bereich 2000 - 62000, den der Wurm in den ausgehenden Verkehr einbindet, so dass sich infizierte Systeme nicht zurück verbinden können.
W32/Bobax-C enthält außerdem ein E-Mail-Relay-Modul, wodurch infizierte Computer zum Übertragen von Werbe-E-Mails benutzt werden können. |
Quelle: Sophos
http://www.sophos.de/virusinfo/analyses/w32bobaxc.html _________________
Engel fliegen leise! |
|
Nach oben |
|
|
Zaubi Administrator
Anmeldungsdatum: 30.04.2003 Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
Verfasst am: 27.05.2004, 16:02 Titel: |
|
|
-> Link mit Entfernungstool von Bitdefender: Klick _________________
Engel fliegen leise! |
|
Nach oben |
|
|
|
|
Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst deine Beiträge in diesem Forum nicht bearbeiten. Du kannst deine Beiträge in diesem Forum nicht löschen. Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
Powered by phpBB © 2001, 2005 phpBB Group
|