RedDiamonds Dream Board Foren-Übersicht RedDiamonds Dream Board
Sims, Mineralien, Bonsai und noch vieles mehr!
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   StatisticsStatistics   RegistrierenRegistrieren 
 ProfilProfil      LoginLogin 
 KarteKarte    DownloadsDownloads    Chat RaumChat Raum 
 
Intro       Portal       Index 

W32/Cycle-A (Sasser-ähnlich)

 
Neues Thema eröffnen   Neue Antwort erstellen   Printversion    RedDiamonds Dream Board Foren-Übersicht -> Viren - Würmer - usw.
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Zaubi
Administrator


Anmeldungsdatum: 30.04.2003
Beiträge: 1348

Wohnort: ... zu Hause

Beitrag drucken

BeitragVerfasst am: 24.05.2004, 11:31    Titel: W32/Cycle-A (Sasser-ähnlich) Antworten mit Zitat Einzelbeitrag drucken

W32/Cycle-A

Zitat:
W32/Cycle-A ist ein Netzwerkwurm, der im Internet nach nicht gepatchten Computern sucht, wobei er zufällig erzeugte IP-Adressen verwendet.

Diese Computer sind anfällig füt die LSASS Buffer Overrun Schwachstelle, die einem remoten Angreifer Administratorrechte auf dem lokalen Computer ermöglicht.

Nähere Informationen über diese Windows-Schwachstelle finden Sie in folgendem Microsoft Security Bulletin:

Microsoft Security Bulletin MS04-011.

W32/Cycle-A kopiert sich mit dem Dateinamen SVCHOST.EXE in den Windows-Systemordner und erstellt folgende Schlüssel in der Registrierung:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HOST_SERVICE\

HKLM\SYSTEM\CurrentControlSet\Services\Host Service\

Der zweite Schlüssel enthält den Eintrag:
ImagePath = C:\<Windows System\SVCHOST.EXE
Dadurch wird der Wurm bei jedem Neustart des Computers aktiviert.

W32/Cycle-A läuft dann als TFTP-Server an UDP-Port 69 und sobald auf Zielcomputer zugegriffen wurde, führt er eine remote Shell aus, um eine Kopie von sich von dem TFTP-Server auf den remoten Computer mit dem Dateinamen CYCLONE.EXE herunterzuladen. Dieser Wurm kann dann den folgenden Registrierungseintrag verändern:

Generic Host Service = C:\<Windows System>\SVCHOST.EXE

Dieser Eintrag kann sich unter folgenden Registrierungsschlüsseln auf dem Zielcomputer befinden:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

W32/Cycle-A versucht außerdem, Prozesse zu beenden, die mit den Würmern W32/Blaster und W32/Sasser im Zusammenhang stehen. Außerdem kann er am 18 .Mai eine Denial-of-Service (DoS)-Attacke gegen folgende Websites starten:

www.irna.com
www.bbc.com
www.isna.com
www.bbcnews.com

W32/Cycle-A legt die Datei C:\<Windows>\CYCLONE.TXT ab. Dabei handelt es sich um einen Text mit Aussagen über die politische und soziale Situation im Iran. Der Text lautet folgendermaßen: .....


Es folgt eine Mailnachricht ... Nachzulesen unter folgendem Link:
http://www.sophos.de/virusinfo/analyses/w32cyclea.html

Quelle: Sophos
_________________
Engel fliegen leise!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name
Zaubi
Administrator


Anmeldungsdatum: 30.04.2003
Beiträge: 1348

Wohnort: ... zu Hause

Beitrag drucken

BeitragVerfasst am: 27.05.2004, 15:02    Titel: Antworten mit Zitat Einzelbeitrag drucken

-> Link mit Entfernungstool von Bitdefender: Klick
_________________
Engel fliegen leise!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name
Beiträge vom vorherigen Thema anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen   Printversion    RedDiamonds Dream Board Foren-Übersicht -> Viren - Würmer - usw. Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


CBACK.DE CrackerTracker www.phpbb.de www.reddiamond.de Rubytown - Sims2 www.reddiamonds-dreams.de Forum-Banner zum mitnehmen :o)

Powered by phpBB © 2001, 2005 phpBB Group