kostenloser Webspace werbefrei: lima-city


Neuer Virus (Bobax.C)... So wird der entfernt!!!

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    k*********2

    Ich habe mir gerade Bobax.C eingefangen! Ich entferne den gerade und gebe euch nen Hinweis, wie das geht, wenn ihr den auch habt (Quelle:http://www.sophos.de/virusinfo/analyses/w32bobaxc.html)

    W32/Bobax-C
    Alias
    TrojanProxy.Win32.Bobax.c, W32/Bobax.worm.c, Win32/Bobax.B, W32.Bobax.C

    Typ
    Win32-Wurm

    Erkennung
    Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verf?gung und wird ab Version Juli 2004 (3.83) in Sophos Anti-Virus enthalten sein.


    Kunden, die Enterprise Manager, PureMessage oder eine unserer Sophos small business solutions im Einsatz haben, sind ab dem n?chsten zeitgesteuerten Update automatisch gesch?tzt.

    Zum jetzigen Zeitpunkt hat Sophos lediglich eine Meldung dieses wurms als "in the wild" erhalten.


    Erl?uterung
    W32/Bobax-C ist ein Sasser-?hnlicher Wurm, der f?r seine Verbreitung die MS04-011 (LSASS.exe) Schwachstelle ausnutzt.

    Wenn er ausgef?hrt wird, erstellt W32/Bobax-C eine Helper-DLL mit einem zuf?lligen Namen im temp-Ordner. Wenn die DLL geladen wird, kopiert sich die ausf?hrbare Komponente unter Verwendung eines zuf?lligen Namens in den Windows-Systemordner.

    W32/Bobax-C erstellt die folgenden Registrierungseintr?ge, damit er bei der Benutzeranmeldung gestartet wird:

    HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
    <Name aus acht zuf?lligen Zeichen> = <Pfad zum Wurm>

    HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
    <Name aus acht zuf?lligen Zeichen> = <Pfad zum Wurm>

    Diese DLL wird als separater Thread in den Explorer eingef?gt, so dass sie nicht als einzelner Prozess sichtbar ist.

    Der Wurm wartet an einem zuf?llig gew?hlten TCP-Port im Bereich 2000 - 62000, den der Wurm in den ausgehenden Verkehr einbindet, so dass sich infizierte Systeme nicht zur?ck verbinden k?nnen.

    W32/Bobax-C enth?lt au?erdem ein E-Mail-Relay-Modul, wodurch infizierte Computer zum ?bertragen von Werbe-E-Mails benutzt werden k?nnen.


    Wiederherstellung
    Bitte folgen Sie den Hinweisen zum Entfernen von W?rmern.

    Sie m?ssen au?erdem die folgenden Registrierungseintr?ge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung ?ber das Bearbeiten der Registrierung.

    Klicken Sie in der Taskleiste auf Start|Ausf?hren. Geben Sie "Regedit" ein und dr?cken Sie Enter. Es ?ffnet sich der Registrierungseditor.

    Bevor Sie die Registrierung ver?ndern, sollten Sie ein Backup erstellen. Klicken Sie im Men? "Registrierung" auf "Registrierungsdatei exportieren", w?hlen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.

    Suchen Sie unter HKEY_LOCAL_MACHINE die Eintr?ge:

    HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
    <Name aus acht zuf?lligen Zeichen> = <Pfad zum Wurm>



    HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/

    <Name aus acht zuf?lligen Zeichen> = <Pfad zum Wurm>



    L?schen Sie die Eintr?ge, sofern sie existieren.

    Schlie?en Sie den Registrierungseditor.

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. meisterdererde

    meisterdererde hat kostenlosen Webspace.

    woran kann ich erkennen das ich ihn habe?
  4. Autor dieses Themas

    k*********2

    Der kam bei mir direkt rein, nachdem sich meine Firewall aufgehangen hat. Erkennen kannst du ihn, wenn im Verzeichnis C:\Dokumente\...\Lokale Einstellungen\TEMP ne Datei wie in etwas 1.tmp,2.tmp usw. befindet, welche 15,8 KB gro? ist. Ich hatte gerade meinen Scanner aktualisiert, und sofort schlug der Alarm hoch 3! Wie gesagt, der arbeitet ?hnlich wie Sasser, nur ich habe noch mehr rausbekommen: Wenn ich das richtig verstanden habe, f?ngt der an ohne Adressbuch usw. Spam-Mails zu versenden an zuf?llig errechnete Adressen unter @hotmail.com @aol.com und noch ein paar anderen sehr bekannten! Man sieht ihn nicht im Taskmanager (nistet sich auch im Explorer ein als Unterthread. Wenn du merkst, das du ihn hast: Sofort Task-Manager an, Explorer killen (eventuell macht der PC dann faxen, und dann die beiden Eintr?ge in der Registrierung l?schen! Nach dem n?chsten Neustart einmal mit dem Scanner durch, und weg ist der!
  5. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!