Board-Ansicht
Mix-Ansicht- OT: Neuer Virus oder Trojaner? Bitte um HILFE! - vasile, 17.04.2004, 14:14
- was sagen denn Virenscanner bzw. Anti-Spyware dazu? - kingsolomon, 17.04.2004, 16:22
- Re: Leider ein Wurm. Es ist wuamgrd.exe alias W32/RBot-A. Wird von Antivir nicht - vasile, 17.04.2004, 18:12
- Entwarnung? kein neuer, vielleicht des Hersteller's Trojaner? - CaptainB, 17.04.2004, 16:32
- Re: Es ist z.K! Ich werde auch demnächst auf Linux umsteigen. (o.Text) - vasile, 17.04.2004, 18:22
- Probier mal Knoppix: Absolut unverseuchbar, weil auf CD - kingsolomon, 17.04.2004, 19:18
- Re: Mach ich. Danke für den Tip! (o.Text) - vasile, 17.04.2004, 20:18
- Funktioniert diese Website mit dem Browser im Knoppix-Linux? mkT - BillyGoatGruff, 17.04.2004, 22:17
- Re: Funktioniert diese Website mit dem Browser im Knoppix-Linux? Einwandfrei! - kingsolomon, 18.04.2004, 20:24
- Probier mal Knoppix: Absolut unverseuchbar, weil auf CD - kingsolomon, 17.04.2004, 19:18
- Re: Es ist z.K! Ich werde auch demnächst auf Linux umsteigen. (o.Text) - vasile, 17.04.2004, 18:22
- Ich weiß zwar nicht was Willi Birgel empfiehlt, ich nehme immer das hier.... - prinz_eisenherz, 17.04.2004, 18:38
- Re: Stinger findet nichts. Hab den Dreck manuell entfernt. Trotzdem danke! (o.Text) - vasile, 17.04.2004, 20:14
- was sagen denn Virenscanner bzw. Anti-Spyware dazu? - kingsolomon, 17.04.2004, 16:22
Re: Leider ein Wurm. Es ist wuamgrd.exe alias W32/RBot-A. Wird von Antivir nicht
-->...entdeckt.
Ich hab nochmal ein bischen im System gesucht und die Datei wuamgrd.exe als im Bunde mit ntsyskrnl.exe ausgemacht. Dazu habe ich Folgendes im Netz gefunden:
W32/RBot-A ist ein Wurm mit einer Backdoor-Komponente, der sich auf wenig geschützte Netzwerkfreigaben auf der Windows-Plattform verbreitet. Der Wurm verbreitet sich, indem er zufällige IP-Adressen nach offenen SMB-Ports (445) durchsucht und versucht, sich in den Windows-Systemordner auf den remoten Admin$- und C$-Freigaben als Datei namens wuamgrd.exe zu kopieren.
W32/RBot-A verwendet ein internes Wörterbuch häufiger Kennwörter, um Zugriff zu erlangen. Der Wurm versucht, einen Zeitplan für den Start der kopierten Datei auf dem remoten Computer zu erstellen.
W32/RBot-A verfügt außerdem über eine Backdoor-Komponente, die einem bösartig gesinnten Anwender Fernzugriff auf einen infizierten Computer ermöglicht. Wenn er ausgeführt wird, versucht der Wurm, einen remoten IRC-Server zu kontaktieren und sich mit einem bestimmten Kanal zu verbinden und dort auf Befehle zu warten.
Neben der Verbreitungs-Funktion ermöglicht W32/RBot-A dem remoten Anwender auch, einen Proxyserver einzurichten, einen HTTP-Server an einem benutzerspezifischen Port zu starten, Systemdaten zu sammeln, Freigaben und Benutzer hinzuzufügen oder zu löschen, Prozesse zu beenden, Dateien herunterzuladen und auszuführen, E-Mails zu versenden, eine Webcam remote zu steuern, in Netzwerkverkehr zu schnüffeln oder eine Denial-of-Service-Attacke gegen ein benutzerspezifisches Ziel zu starten.
Damit er automatisch beim Start von Windows aktiviert wird, kopiert sich W32/RBot-A in die Datei wuamgrd.exe im Windows-Systemordner und erstellt die folgenden Registrierungseinträge:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunnMicrosoft Update = wuamgrd.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOncenMicrosoft Update = wuamgrd.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesnMicrosoft Update = wuamgrd.exe
HKUSoftwareMicrosoftWindowsCurrentVersionRunnMicrosoft Update = wuamgrd.exe
HKUSoftwareMicrosoftWindowsCurrentVersionRunOncenMicrosoft Update = wuamgrd.exe
Der Wurm erstellt außerdem die Protokolldatei debug.txt.
Thread gesperrtgesamter Thread:
