RedDiamonds Dream Board Foren-Übersicht RedDiamonds Dream Board
Sims, Mineralien, Bonsai und noch vieles mehr!
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   StatisticsStatistics   RegistrierenRegistrieren 
 ProfilProfil      LoginLogin 
 KarteKarte    DownloadsDownloads    Chat RaumChat Raum 
 
Intro       Portal       Index 

Bobax A - C (Sasser-ähnlich)

 
Neues Thema eröffnen   Neue Antwort erstellen   Printversion    RedDiamonds Dream Board Foren-Übersicht -> Viren - Würmer - usw.
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Zaubi
Administrator


Anmeldungsdatum: 30.04.2003
Beiträge: 1348

Wohnort: ... zu Hause

Beitrag drucken

BeitragVerfasst am: 24.05.2004, 11:22    Titel: Bobax A - C (Sasser-ähnlich) Antworten mit Zitat Einzelbeitrag drucken

W32/Bobax-A

Zitat:
W32/Bobax-A ist ein Netzwerkwurm mit Backdoorfunktionalität.

W32/Bobax-A legt eine zufällig benannte dll im temp-Ordner ab, die alle Hauptfunktionen des Wurms enthält.

Die Programmkomponente wird mit einem zufälligen Dateinamen in den Windows-Systemordner kopiert und erstellt einen zufällig benannten Wert in folgenden Registrierungseinträgen, so dass der Wurm gestartet wird, sobald sich ein Benutzer an Windows anmeldet:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Die DLL wird in den Explorer-Prozess geladen und sendet zuerst eine Anfrage an einen Hacker an einem Computer in einer der folgenden Domänen:

dns4biz.org
hopto.org
no-ip.info

W32/Bobax-A erstellt eine Backdoor zu dem befallenen Computer. Ein Angreifer kann dann über diese Backdoor den Wurm anweisen, nach zufälligen IP-Adressen für Computer zu suchen, auf die sich der Wurm mit Hilfe der LSASS-Schwachstelle kopieren kann. Diese Schwachstelle wird Berichten zufolge mit dem Microsoft Security Bulletin MS04-011 behoben.


Quelle: Sophos
http://www.sophos.de/virusinfo/analyses/w32bobaxa.html
_________________
Engel fliegen leise!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name
Zaubi
Administrator


Anmeldungsdatum: 30.04.2003
Beiträge: 1348

Wohnort: ... zu Hause

Beitrag drucken

BeitragVerfasst am: 24.05.2004, 11:26    Titel: Antworten mit Zitat Einzelbeitrag drucken

W32/Bobax-C
TrojanProxy.Win32.Bobax.c, W32/Bobax.worm.c, Win32/Bobax.B, W32.Bobax.C

Zitat:
W32/Bobax-C ist ein Sasser-ähnlicher Wurm, der für seine Verbreitung die MS04-011 (LSASS.exe) Schwachstelle ausnutzt.

Wenn er ausgeführt wird, erstellt W32/Bobax-C eine Helper-DLL mit einem zufälligen Namen im temp-Ordner. Wenn die DLL geladen wird, kopiert sich die ausführbare Komponente unter Verwendung eines zufälligen Namens in den Windows-Systemordner.

W32/Bobax-C erstellt die folgenden Registrierungseinträge, damit er bei der Benutzeranmeldung gestartet wird:

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
<Name aus acht zufälligen Zeichen> = <Pfad zum Wurm>

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
<Name aus acht zufälligen Zeichen> = <Pfad zum Wurm>

Diese DLL wird als separater Thread in den Explorer eingefügt, so dass sie nicht als einzelner Prozess sichtbar ist.

Der Wurm wartet an einem zufällig gewählten TCP-Port im Bereich 2000 - 62000, den der Wurm in den ausgehenden Verkehr einbindet, so dass sich infizierte Systeme nicht zurück verbinden können.

W32/Bobax-C enthält außerdem ein E-Mail-Relay-Modul, wodurch infizierte Computer zum Übertragen von Werbe-E-Mails benutzt werden können.


Quelle: Sophos
http://www.sophos.de/virusinfo/analyses/w32bobaxc.html
_________________
Engel fliegen leise!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name
Zaubi
Administrator


Anmeldungsdatum: 30.04.2003
Beiträge: 1348

Wohnort: ... zu Hause

Beitrag drucken

BeitragVerfasst am: 27.05.2004, 15:02    Titel: Antworten mit Zitat Einzelbeitrag drucken

-> Link mit Entfernungstool von Bitdefender: Klick
_________________
Engel fliegen leise!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name
Beiträge vom vorherigen Thema anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen   Printversion    RedDiamonds Dream Board Foren-Übersicht -> Viren - Würmer - usw. Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


CBACK.DE CrackerTracker www.phpbb.de www.reddiamond.de Rubytown - Sims2 www.reddiamonds-dreams.de Forum-Banner zum mitnehmen :o)

Powered by phpBB © 2001, 2005 phpBB Group