hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Schutz erhältlich seit | 21 April 2004 13:27:27 (GMT) |
|---|---|
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.
Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.
Ersetzen Sie die Hosts-Datei durch eine Sicherungskopie oder bearbeiten Sie die Datei in Notepad, um die Änderungen des Wurms rückgängig zu machen.
Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Update Service = csrs.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Update Service = csrs.exe
Löschen Sie diese Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
Weitere Informationen
W32/Agobot-NI ist ein Backdoor-Trojaner und ein Wurm, der sich auf Computer verbreitet, die durch einfache Kennwörter geschützt sind.
Wenn er erstmals ausgeführt wird, kopiert sich W32/Agobot-NI als csrs.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, damit er beim Start aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Update Service = csrs.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Update Service = csrs.exe
Der Trojaner läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den Computer.
Der Trojaner versucht, verschiedene Antiviren- und Sicherheitsprogramme zu beenden und zu deaktivieren. Außerdem verändert er die HOSTS-Datei in
%WINDOWS%\System32\Drivers\etc\HOSTS, wobei er ausgewählte Antiviren-Websites mit der Loopback-Adresse 127.0.0.1 verknüpft, um den Zugriff auf diese Websites zu verhindern. Typischerweise werden folgende Verknüpfungen an die HOSTS-Datei hinzugefügt:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
|
