hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Schutz erhältlich seit | 17 Oktober 2003 09:01:04 (GMT) |
|---|---|
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.
Bitte folgen Sie den Hinweisen zum Entfernen von Würmern.
Installieren Sie Microsoft security bulletin MS03-026 wie oben bereits erwähnt.
Überprüfen Sie Ihre Administrator-Kennwörter und die Sicherheit Ihres Netzwerks.
Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Microsoft System Checkup = netapi32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft System Checkup = netapi32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
NT Logging Service = syslog32.exe
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
Weitere Informationen
W32/Donk-E ist ein Netzwerk-Wurm und ein Backdoor-Trojaner.
W32/Donk-E kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich mit Hilfe der DCOM RPC Schwachstelle auf andere Computer auszubreiten.
Durch diese Schwachstelle kann der Wurm seinen Code auf den Zielcomputern mit Systemrechten ausführen. Weitere Informationen über diese Schwachstelle und Hinweise, wie Sie den Computer schützen bzw. patchen können, finden Sie im Microsoft security bulletin MS03-026.
Wenn er erstmals ausgeführt wird, kopiert sich W32/Donk-E als COOL.EXE und NETAPI32.EXE in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, so dass NETAPI32.EXE automatisch ausgeführt wird, sobald Windows gestartet wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Microsoft System Checkup = netapi32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices\Microsoft System Checkup = netapi32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\NT Logging Service = syslog32.exe
W32/Donk-E kann sich nicht als syslog32.exe kopieren.
W32/Donk-E verbindet sich mit anderen Computern im lokalen Netzwerk. Wenn ein Computer ein einfaches Kennwort hat, kopiert sich W32/Donk-E in die folgenden Autostart-Ordner:
\WINNT\Profiles\All Users\Start Menu\Programs\Startup
\WINDOWS\Start Menu\Programs\Startup
\Documents and Settings\All Users\Start Menu\Programs\Startup
W32/Donk-E verfügt außerdem über Backdoor-Trojaner-Funktionen, mit denen er einem remoten Eindringling Zugriff auf und die Steuerung über den Computer via IRC-Kanälen ermöglicht.
Sobald W32/Donk-E gestartet wird, versucht er, sich mit einem remoten IRC-Server und einem bestimmten Kanal zu verbinden. W32/Donk-E läuft dann kontinuierlich im Hintergrund als Diensteprozess, wobei er auf Anweisungen wartet.
Der Remote-Eindringling kann verschiedene Aktionen ausführen, z. B. gelangt er an Systemdaten, lädt Dateien herunter, startet eine DDoS-Flooder-Attacke auf andere Computer und startet Programme. Eine der Dateien, die W32/Donk-E unter Umständen auf den Computer des Opfers herunterlädt und ausführt, ist ein Exemplar von href="w32donkd.html">W32/Donk-D.
|
