« vorheriges nächstes »
Seiten: [1]   Nach unten

Autor Thema: Ein Wurm für das Wurmloch  (Gelesen 458 mal)

0 Mitglieder und 2 Gäste betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 191383
  • Ohne Input kein Output
    • DVB-Cube
Ein Wurm für das Wurmloch
« am: 24 August, 2006, 10:21 »
Ein Wurm aus der Randex-Familie nutzt die kürzlich bekannt gewordene Sicherheitslücke im Server-Dienst von Windows.

Mit dem Security Bulletin MS06-040 hat Microsoft ein Sicherheits-Update bereit gestellt, das eine Anfälligkeit im Server-Dienst von Windows beseitigen soll. Nachdem bereits ein Trojanisches Pferd namens " Mocbot " diese Schwachstelle ausnutzt, berichtet der Antivirus-Hersteller Symantec über eine neue Variante eines Wurms, der sich über diese Sicherheitslücke ausbreitet.

Der Wurm wird von Symantec als " W32.Randex.GEL " bezeichnet und stellt eine weitere Variante der bereits länger bekannten Randex-Familie dar. Würmer dieses Typs beherrschen eine ganze Reihe von Methoden sich auszubreiten, darunter auch die Ausnutzung bekannter Sicherheitslücken. Bei McAfee wird er als " W32/Sdbot.worm!MS06-040 " geführt.

Der Wurm Randex.GEL kann sich mit Hilfe der Instant Messenger von AOL, ICQ, MSN und Yahoo verbreiten. Ferner nutzt er Netzwerkfreigaben und Microsoft-SQL-Server sowie vier bekannte Sicherheitslücken in Windows, von denen bei dieser Wurm-Variante lediglich der Pufferüberlauf im Server-Dienst neu hinzu gekommen ist.

Der Schädling legt eine Kopie von sich als "javanet.exe" im System-Verzeichnis von Windows ab und trägt diese als neuen Dienst in die Registry ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
"MS Java for Windows XP & NT" = "javanet.exe"

Außerdem manipuliert er einen weiteren Registry-Schlüssel, um bei jedem Start von Windows geladen zu werden:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windlogon
"Shell" = "Explorer.exe javanet.exe"
"Userinit" = "%System%Serinit.exe,javanet.exe"

Der Wurm Randex.GEL öffnet eine Hintertür ins System, indem er auf dem TCP-Port Kontakt mit einem IRC-Server (Internet Relay Chat) aufnimmt. Er wartet auf Kommandos, die ihn zum Beispiel anweisen können Dateien herunter zu laden, laufende Prozesse zu stoppen, DoS-Angriffe (Denial of Service) zu starten oder Tastatureingaben zu protokollieren. Nicht zuletzt spioniert er auch noch Anmeldedaten für die Online-Bezahldienste E-Gold und Paypal aus.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )
Seiten: [1]   Nach oben
« vorheriges nächstes »