Antivirus and Security Software from Sophos

W32/Rbot-PZ

Alias
  • Backdoor.Win32.Rbot.dk
  • WORM_SPYBOT.IQ
Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Verbreitungsmethode
  • Netzwerkfreigaben
Betroffene Betriebssysteme Windows
Merkmale
  • Installiert sich in der Registrierung
Schutz erhältlich seit 18 November 2004 08:50:22 (GMT)
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Ändern Sie alle Daten, die möglicherweise gestohlen wurden. Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung. Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor. Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup. Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Entfernen Sie alle Verweise auf die von Ihnen gelöschte Datei. Schließen Sie den Registrierungseditor. Überprüfen Sie außerdem folgendes:

  • Um DCOM wieder zu aktivieren, können Sie die Registrierung bearbeiten, es wird jedoch empfohlen, dafür Dcomcnfg.exe zu verwenden. Nähere Informationen finden Sie im Microsoft-Artikel 825750.
  • Die Einstellung HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" erlaubt nicht die Aufzählung von SAM-Konten- und -Namen. Der Standard ist "0". Er kann in der Lokalen Sicherheitsrichtlinie geändert werden. Nähere Informationen finden Sie im Microsoft-Artikel 246261 .
  • Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.

Weitere Informationen

W32/Rbot-PZ ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist. W32/Rbot-PZ verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten Anwender erhalten hat. W32/Rbot-PZ kopiert sich als MSNMSGX.EXE in den Windows-Systemordner und erstellt Einträge mit dem Wert "MSN" in der Registrierung an folgenden Stellen, so dass er beim Start aktiviert wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices W32/Rbot-PZ erstellt außerdem den folgenden Registrierungseintrag mit demselben Wert, der auf ihn selbst verweist: HKCU\Software\Microsoft\OLE W32/Rbot-PZ kann versuchen, die folgenden Registrierungseinträge zu erstellen: HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" W32/Rbot-PZ kann versuchen, Netzwerkfreigaben auf dem Hostcomputer zu löschen. W32/Rbot-PZ kann versuchen, Tastenfolgen in der Datei KEY.TXT im Windows-Systemordner zu speichern.

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer