|
Es tauchen bereits die Varianten des Wurms auf. Die neue Bezeichnung der datei ist winlog i n.exe, nicht zu verwechseln mit winlogon.exe. Zusätzlich wird eine "yuetyutr.dll" erstellt. Die Registry Einträge : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce winlogon = "winlogin.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run NdplDeamon = "winlogin.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run winlogon = "winlogin.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = "explorer.exe winlogin.exe" Zudem erstellt der Wurm ein backup der datei winlogin.exe um sich im Falle einer Löschung wiederherzustellen. Aktuell habe ich hier einen xp-Rechner(leider nur am Telefon,bisher) der die typischen Lovesansymptome zeigt (herunterfahren), ohne das ich auffällige Starteinträge bzw. irgendwas finden kann :( Gibt es schon die dritte, vierte etc. Variante ? Aber so ein infizierter Rechner kann ja auch quasi alles nachladen [img]graemlins/koch.gif[/img] Wer weiß mehr ? Domino |
Ist der Patch eingespielt? Wurde die Systemwiederherstellung deaktiviert? |
Ja klar, der Patch ist eingespielt. Systemwiederherstellung deaktiviert. Domino [ 15. August 2003, 14:33: Beitrag editiert von: Domino ] |
Hast du schon mal eine Überprüfung mit dem Analyse-Tool der PC-Welt durchgeführt? Probiere mal, ob das kleine Tool von Andreas Haak Besserung bringt. Nutze zudem alle verfügbaren Entfernungstools: Bitdefender, KAV (clrav), Stinger. |
|
Ich fürchte der isses nicht. Mit der Variante habe ich ja diesen Thread eröffnet, ist also schon gecheckt. Zudem ist auf dem Rechner NAV installiert, der müsste ihn ja melden. :confused: Domino |
'Klassischer Fall' von Mißverständnis. Sorry! Ich dachte die Dinge hättest Du manuell 'ermittelt'... Dann weiß ich im Moment auch nicht weiter... :confused: tschööö, DerBilk |
Saaacht mal..: kann es sein, dass die Asiaten schon Microdoof mit DDoS-Attacken angreifen ? MS-Download bringt dauernd timeouts.. (aber Winupdate geht noch ..?) (ICH hab den Patch zwar schoin lange, aber die lieben Kollegen müssen erstmal ServicePacks aufspielen :D :D ) oder ist das nur der ganz normale Jetzt-aber-schnell-WIN-Absichern-DL-Wahnsinn ? :) |
</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares: Saaacht mal..: MS-Download bringt dauernd timeouts.. (aber Winupdate geht noch ..?) </font>[/QUOTE]Was für Timeouts ? Beim Abruf der Seite oder beim Pingen ? Hab eben auch mal den Host angepingt, scheint als würden sie ICMP unterdrücken, was ich gut verstehen kann. |
Tja, der Wurm scheint immernoch "fleißig am Arbeiten zu sein". Meine Firewall blockt immer noch ab und an den 135 er. *g endlich hat sich das Ding bewährt (die Firewall) [img]tongue.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von I_wanna_know: *g endlich hat sich das Ding bewährt (die Firewall) [img]tongue.gif[/img] </font>[/QUOTE]Genau, nur durch die LogFunktion kriegt man den Spaß ja erst richtig mit :D :D sonst ist die PFW natürlich unnötig, da Patch level & AV aktuell ;) P.S.: Timeout war beim Aufruf der MS-DL-Seiten |
hay, ja du solltest recht haben,da die DDoS attacke um 0.00 uhr beginnt müsste die erste welle ca. 16.00 uhr so in japan öä. losgegangen sein und um mitternacht stossen wir dazu. wenn dann morgen nachmittag durch die usa (wenn der strom nicht wieder ausfällt..lol) der server wirklich ziemlich platt ist, werden wahrscheinleich auch noch hausmeister krause und co denken das es pfiffig wäre upzudaten und dann könnte die logik der coder sogar aufgehn. gruss peter ps: das posting bezieht sich auf who cares frage...is klar oder? |
@Domino, wichtig! Du sagst, der Patch wurde eingespielt - war auch das aktuelle Service-Pack installiert? |
hi @ all, das ist keine variante des lovsan / msblast / blaster wurms. er nutzt zwar ebenfals die sicherheitslücke 'rpc dcom buffer overflow' aus und ist auch am 11. august entdeckt worden aber ansonsten eigenständig und heißt worm_rpcsdbot.a. beschreibung und entfernungsanleitung gibt es hier... grüße nico |
Moin, SP 1 ist installiert. :-( Domino |
Hi@all. Als einer derjenigen, der nicht von der Panik angesteckt worden ist (ja ja, das gute alte ME), folgendes: Windows Update funktioniert ganz normal. Soeben getestet. Auch merke ich keine Verlangsamung des Internet. Gruß :D :D :D :D :D :D |
Hi@all. Nach dem Bericht hier soll Windows Update vom Netz genommen sein. Das kann ich nicht bestätigen. Ich konnte dies soeben noch testen, ohne Probleme. War halt neugierig, habe eh schon alle Patches drauf. :D :D Na ja, lassen wir uns überraschen, wie es weiter geht. Es gibt aber wichtigeres im Leben als die Kiste. Deshalb: Ruhe bewahren und kühl bleiben. :cool: :cool: Jetzt gibt es erst mal Mittagessen, das ich auch wichtiger. Gruß :D :D :D :D |
Grüezi mitenand ich lese immer port 135 mit firewall schliessen. Ich habe Norton PFW 2003 (ja ich weiss) und habe keine Ahnung wie man damit port 135 schliessen kann. Kann mir jemand sagen wie das geht? Allerdings ist bei mir port 135 gefiltert Den Patch von M$ habe ich seinerzeit auch heruntergesaugt und installiert. Bin bis jetzt auch nicht infiziert Tschüss und schönen Nachmittag :confused: |
Hallo lunedi! Für Win XP: http://kssysteme.de/s_content.php?id=fk2002-01-31-3823 Für Win 2K: http://kssysteme.de/s_content.php?id=fk2002-02-02-3414 |
hi @ all, zur not hat heise die patches gespiegelt... laut spiegel bleibt aber der angriff bislang wirkungslos... grüße nico [img]graemlins/teufel3.gif[/img] |
Hi Husky, das kommt drauf an, welchen Servernamen man für Winupdate verwendet: http://f-secure.com/lovsan/ Auszüge: Microsoft made drastic changes in their internet setup on Friday. First of all, they moved most of their main web servers under heavy web clusters operated by the mirroring company Akamai. As to windowsupdate.com, they just surrendered. .. Microsoft simply disconnected this server from the web and removed it's name from domain name systems. It will probably never return. So in this sense, the worm accomplished what it wanted: windowsupdate.com is no more. ... Basically, Microsoft sacrificed their server to save the rest of the net. [Wow, eine noble Geste..!!] Now there will be no floods of packets to overflow routers and switches at ISPs around the world. Of course, this was an easy decision for Microsoft, as windowsupdate.com was not used much. The official address for Microsoft's Windows Update Service is windowsupdate.microsoft.com. This is also the address accessed by default by Windows 98, ME, 2000, XP and 2003. Most likely this was the address the virus writer tried to attack, but she made a slight mistake in the address :D :D ;) Tja, immer diese SkriptKiddies, können nix richtig sauber machen [img]graemlins/kloppen.gif[/img] [img]graemlins/kloppen.gif[/img] z.b. (www.)windowsupdate.com in IE-AdressZeile eingeben: -> MSN-Search: Wir können "windowsupdate.com" nicht finden. ;) [ 16. August 2003, 18:59: Beitrag editiert von: Who Cares ] |
Hi Husky, schon klar, das hab ich ja auch nicht geschrieben, oder ? ;) </font><blockquote>Zitat:</font><hr /> z.b. (www.)windowsupdate.com in IE-AdressZeile eingeben: </font>[/QUOTE]Der Wurm war offenbar hardcoded auf die alte einfache (Redirect)-Adresse; die hat Billy jetzt sterben lassen. Aus WIN heraus wird aber wohl schon lange windowsupdate.microsoft.com aufgerufen. Und das funzt natürlich ;) |
Who, wenn ich im IE auf Windows Update klicke, wird diese Adresse h**p://v4.windowsupdate.microsoft.com/de/default.asp angezeigt. Das Update läuft dann ohne Probleme. Auch gerade eben. Selbst ausprobiert. Gruß :D :D :D :D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board