hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Verbreitungsmethode |
|
|---|---|
| Betroffene Betriebssysteme | Windows |
| Merkmale |
|
| Schutz erhältlich seit | 11 Oktober 2005 13:35:06 (GMT) |
| Letztes Update | 19 Oktober 2005 12:00:12 (GMT) |
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.
Weitere Informationen
W32/Rbot-AQY ist ein Wurm und ein IRC-Backdoortrojaner für die Windows-Plattform.
W32/Rbot-AQY verbreitet sich:
- auf andere Netzwerkcomputer, die infiziert sind mit: W32/MyDoom und W32/Bagle
- auf andere Netzwerkcomputer, indem er häufige Pufferüberlauf-Schwachstellen ausnutzt, darunter: LSASS (MS04-011), RPC-DCOM (MS04-012) und WebDav (MS03-007)
- indem er sich auf Netzwerkfreigaben kopiert, die durch einfache Kennwörter geschützt sind
W32/Rbot-AQY läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.
Wenn er erstmals gestartet wird, kopiert sich W32/Rbot-AQY nach <System>\MrNo4236.exe.
Folgende Registrierungseinträge werden erstellt, damit MrNo4236.exe beim Start ausgeführt wird:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Syga432te Pe432rsonal Firewall
MrNo4236.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Syga432te Pe432rsonal Firewall
MrNo4236.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Syga432te Pe432rsonal Firewall
MrNo4236.exe
Folgende Registrierungseinträge werden erstellt:
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1
|
