Antivirus and Security Software from Sophos

W32/Rbot-EWD

Alias
  • Backdoor.Win32.Bifrose.ww
Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Verbreitungsmethode
  • Netzwerkfreigaben
Betroffene Betriebssysteme Windows
Merkmale
  • Installiert sich in der Registrierung
Schutz erhältlich seit 08 August 2006 22:30:42 (GMT)
Letztes Update 25 Oktober 2006 22:25:27 (GMT)
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Weitere Informationen

W32/Rbot-EWD ist ein Netzwerkwurm und Backdoortrojaner für die Windows-Plattform.

W32/Rbot-EWD läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.

W32/Rbot-EWD verbreitet sich
- auf Computer, die für häufige Schwachstellen anfällig sind, darunter: PNP (MS05-039)und ASN.1 (MS04-007)
- auf MSSQL-Server, die durch einfache Kennwörter geschützt werden
- auf Netzwerkfreigaben

Die folgenden Patches für von dem Wurm ausgenutzte Schwachstellen können von der Microsoft-Website heruntergeladen werden:

MS05-039

MS04-007W32/Rbot-EWD ist ein Netzwerkwurm und Backdoortrojaner für die Windows-Plattform.

W32/Rbot-EWD läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.

W32/Rbot-EWD verbreitet sich
- auf Computer, die für häufige Schwachstellen anfällig sind, darunter: PNP (MS05-039)und ASN.1 (MS04-007)
- auf MSSQL-Server, die durch einfache Kennwörter geschützt werden
- auf Netzwerkfreigaben

Die folgenden Patches für von dem Wurm ausgenutzte Schwachstellen können von der Microsoft-Website heruntergeladen werden:

MS05-039

MS04-007

Wenn er zum ersten Mal ausgeführt wird, kopiert sich W32/Rbot-EWD nach <System>\msdn-nt.exe und erstellt die Datei <System>\drivers\oreans32.sys.

Die folgenden Registrierungseinträge werden erstellt, damit msdn-nt.exe beim Start ausgeführt werden kann:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
MSDN for Windows with NT's
msdn-nt.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
MSDN for Windows with NT's
msdn-nt.exe

Der folgende Registrierungseintrag wird verändert, damit msdn-nt.exe beim Start ausgeführt werden kann:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe msdn-nt.exe

(Der Standardeintrag lautet "Explorer.exe", wodurch die Microsoft-Datei <Windows>\Explorer.exe beim Start ausgeführt wird).

Die Datei oreans32.sys wird als neuer Systemtreiber-Dienst namens "oreans32", mit dem Anzeigenamen "oreans32" registriert. Registrierungseinträge werden erstellt unter:

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\

oreans32.sys ist eine virenfreie Datei. Der Dienst kann entfernt und die Datei gelöscht werden.

W32/Rbot-EWD erstellt die folgenden Registrierungseinträge, wodurch der automatische Start anderer Software verhindert wird:

HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
4

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
4

Hinweis: Wird der automatische Start des Dienstes SharedAccess verhindert, wird die Microsoft Internet Connection Firewall (ICF) deaktiviert.

Die folgenden Registrierungseinträge werden erstellt:

HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,msdn-nt.exe

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
lmcompatibilitylevel
1

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer