Aktuelle Viren warnungen

[hisch]

Wootbot
Beschreibung

Woot bezeichnet eine wachsende Familie von Backdoors - Tools, mit denen Hacker einen Zugriff auf einen Rechner erlangen können, um diesen fernzusteuern.

Indem spezielle Kommandos an den betroffenen Rechner gesandt werden, kann das System kontrolliert werden. Zudem können solche Backdoors benutzt werden, um Daten zu stehlen. Es kann auch möglich sein, diese Backdoor von dort aus auf weitere Rechner, die über bestimmte Sicherheitslücken verwundbar sind, zu verbreiten.

Wootbot kann zudem auch als ein Proxy arbeiten und ist in der Lage, für seine Verbindungen eine starke Verschlüsselung zu verwenden.

quelle recomp

[hisch]

Variante Mydoom.Y
Alias: Mydoom.W, Mydoom.X

Erstes Auftreten: September 2004

Länge: 88640


Die Variante Mydoom.Y wurde zuerst am 14. September 2004 entdeckt.

Mydoom.Y verbreitet sich in E-Mails mit abweichenden Texten und installiert eine Backdoor-Komponente.

Diese Variante scheint einen DDoS - Angriff auf

Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!

auszuführen.

Bei der Wurmdatei handelt es sich um eine Windows PE EXE-Datei, die mit FSG komprimiert wurde. Die Datei besitzt eine Länge von 88640 Byte, unkomprimiert über 118 KByte.

Wird der Wurm aufgerufen, erzeugt er den Mutex

Sept-Symantec-Attack

und kopiert sich unter dem Namen

oz11111.exe

in das Windows-System-Verzeichnis oder als

oz2.exe

in das Windows-Verzeichnis und trägt Startup Keys in die Registry ein.
Er versucht zunächst, diese Eintragungen unter HKEY_LOCAL_MACHINE zu machen. Ist dies nicht möglich, wählt er HKEY_CURRENT_USER:

[Software\Microsoft\Windows\CurrentVersion\Run]
"www.symantec.com" = "%WinSysDir%\oz11111.exe"


[Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows updaterD" = "%WinSysDir%\log32zx.exe"


[Software\Microsoft\Windows\CurrentVersion\Run]
"Services" = "%WinTempDir%\services.exe"


[Software\Microsoft\Windows\CurrentVersion\Run]
"oz2" = "%WinDir%\oz2.exe"


[Software\Microsoft\Windows\CurrentVersion\Run]
"Downxz" = "%WinSysDir%\Downxz.bat"

wobei "%WinSysDir%" für das Windows-System-Verzeichnis steht, "%WinDir%" für das Windows-Verzeichnis und "%WinTempDir%" für den temporären Ordner von Windows.

Zusätzlich kopiert sich der Wurm unter dem Namen

AUTORUN.EXE

in das Autostart-Verzeichnis des aktuellen Benutzers
quelle percomp

[hisch]

Variante Mydoom.AB
Alias: Mydoom.Y

Erstes Auftreten: September 2004

Länge: 69632


Die Variante Mydoom.AB wurde zuerst am 16. September 2004 entdeckt.

Mydoom.AB verbreitet sich in E-Mails mit abweichenden Texten und installiert eine Backdoor-Komponente.

Bei der Wurmdatei handelt es sich um eine Windows PE EXE-Datei, die mit UPX komprimiert wurde. Die Datei besitzt eine Länge von 69632 Byte, unkomprimiert über 180 KByte.

Wird der Wurm aufgerufen, erzeugt er den Mutex

ertglddfgd

und kopiert sich unter einem der Namen

csrss.exe
services.exe
smss.exe
winlogon.exe

in das Windows-System-Verzeichnis oder als


in das Windows-Verzeichnis und trägt einen entsprechenden Startup Key in die Registry ein.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Win32System]

quelle percomp

[hisch]

Variante Mydoom.AC
Alias: Mydoom.W

Erstes Auftreten: September 2004

Länge: 23040


Die Variante Mydoom.AC wurde Mitte September 2004 entdeckt.

Mydoom.AC verbreitet sich in E-Mails als gefälschte virtuelle "FlashEcard" Postkarte.

Bei der Wurmdatei handelt es sich um eine Windows PE EXE-Datei, die mit PECompact und PECBundle komprimiert und mit PE_Patch modifiziert wurde. Die Datei besitzt eine Länge von 23040 Byte, unkomprimiert über 61 KByte.

Wird der Wurm aufgerufen, ruft er den Internet Explorer auf und öffnet die Seite

Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!

Der Wurm erzeugt den Mutex

pregnant dog

und kopiert sich unter dem Namen

SYSHOSTS.EXE

in das Windows-System-Verzeichnis und trägt einen entsprechenden Startup Key in die Registry ein:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MS Updates" = "%WinSysDir%\syshosts.exe"

Verbreitung per E-Mail
Nach dem 1. Dezember 2004, 01:01:01 beendet Mydoom.AC Windows, nachdem die Wurmdatei aufgerufen wurde.
quell percomp.de

[hisch]

Variante Binny.A
trojaner

Binny.A ist ein trojanisches Java-Applet, dass eine SUN Java Runtime - Sicherheitslücke ausnutzt, um die volle Kontrolle über ein System zu erlangen.und installiert den trojanischen Downloader Small.VQ.

Binny.A infiziert ein System mittels des Java-Browser-Plugins, wenn ein Web Browser eine maliziöse Webseite aufruft, die einen Verweis auf die Datei des Trojaners enthält.

Wenn Sie eine Java Runtime älter als 1.41_04 einsetzen, sollten Sie ein Update durchführen, um die Sicherheitslücke zu beheben.

Die betreffende Advisory-Seite von Sun:

Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!

Weil Binny.A die Java Runtime von Sun benutzt, sind alle Webbrowser betroffen, nicht nur der Internet Explorer.
Säubern infizierter Systeme:
Aktualisieren Sie die installierte Java Runtime, indem Sie J2SE v 1.4.2_05 JRE von

Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!

installieren.

Öffnen Sie die Systemsteuerung und wählen Sie das Icon des Java-Plug-Ins.
Wählen Sie "Cache" und klicken Sie auf "JAR-Cache löschen"
Überprüfen Sie die Festplatten nach weiteren Trojanern und anderer Malware

qoelle percomp