|
RedDiamonds Dream Board Sims, Mineralien, Bonsai und noch vieles mehr!
|
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
Zaubi Administrator
Anmeldungsdatum: 30.04.2003 Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
Verfasst am: 24.05.2004, 12:31 Titel: W32/Cycle-A (Sasser-ähnlich) |
|
|
W32/Cycle-A
Zitat: |
W32/Cycle-A ist ein Netzwerkwurm, der im Internet nach nicht gepatchten Computern sucht, wobei er zufällig erzeugte IP-Adressen verwendet.
Diese Computer sind anfällig füt die LSASS Buffer Overrun Schwachstelle, die einem remoten Angreifer Administratorrechte auf dem lokalen Computer ermöglicht.
Nähere Informationen über diese Windows-Schwachstelle finden Sie in folgendem Microsoft Security Bulletin:
Microsoft Security Bulletin MS04-011.
W32/Cycle-A kopiert sich mit dem Dateinamen SVCHOST.EXE in den Windows-Systemordner und erstellt folgende Schlüssel in der Registrierung:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HOST_SERVICE\
HKLM\SYSTEM\CurrentControlSet\Services\Host Service\
Der zweite Schlüssel enthält den Eintrag:
ImagePath = C:\<Windows System\SVCHOST.EXE
Dadurch wird der Wurm bei jedem Neustart des Computers aktiviert.
W32/Cycle-A läuft dann als TFTP-Server an UDP-Port 69 und sobald auf Zielcomputer zugegriffen wurde, führt er eine remote Shell aus, um eine Kopie von sich von dem TFTP-Server auf den remoten Computer mit dem Dateinamen CYCLONE.EXE herunterzuladen. Dieser Wurm kann dann den folgenden Registrierungseintrag verändern:
Generic Host Service = C:\<Windows System>\SVCHOST.EXE
Dieser Eintrag kann sich unter folgenden Registrierungsschlüsseln auf dem Zielcomputer befinden:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
W32/Cycle-A versucht außerdem, Prozesse zu beenden, die mit den Würmern W32/Blaster und W32/Sasser im Zusammenhang stehen. Außerdem kann er am 18 .Mai eine Denial-of-Service (DoS)-Attacke gegen folgende Websites starten:
www.irna.com
www.bbc.com
www.isna.com
www.bbcnews.com
W32/Cycle-A legt die Datei C:\<Windows>\CYCLONE.TXT ab. Dabei handelt es sich um einen Text mit Aussagen über die politische und soziale Situation im Iran. Der Text lautet folgendermaßen: ..... |
Es folgt eine Mailnachricht ... Nachzulesen unter folgendem Link:
http://www.sophos.de/virusinfo/analyses/w32cyclea.html
Quelle: Sophos _________________
Engel fliegen leise! |
|
Nach oben |
|
|
Zaubi Administrator
Anmeldungsdatum: 30.04.2003 Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
Verfasst am: 27.05.2004, 16:02 Titel: |
|
|
-> Link mit Entfernungstool von Bitdefender: Klick _________________
Engel fliegen leise! |
|
Nach oben |
|
|
|
|
Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst deine Beiträge in diesem Forum nicht bearbeiten. Du kannst deine Beiträge in diesem Forum nicht löschen. Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
Powered by phpBB © 2001, 2005 phpBB Group
|