W32/Rbot-WV

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Sie müssen außerdem die folgenden Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.

Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Entfernen Sie alle Verweise auf alle von Ihnen gelöschten Dateien.

Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag:

HKU\[Codeziffer]\Software\Microsoft\Windows\
CurrentVersion\Run\

Entfernen Sie alle Verweise auf alle von Ihnen gelöschten Dateien.

Schließen Sie den Registrierungseditor.

Überprüfen Sie außerdem Folgendes:

• Um DCOM wieder zu aktivieren, können Sie die Registrierung bearbeiten, es wird jedoch empfohlen, dafür Dcomcnfg.exe zu verwenden. Nähere Informationen finden Sie im Microsoft-Artikel 825750.
• Die Einstellung HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" erlaubt nicht die Aufzählung von SAM-Konten- und -Namen. Der Standard ist "0". Er kann in der Lokalen Sicherheitsrichtlinie geändert werden. Nähere Informationen finden Sie im Microsoft-Artikel 246261.
• Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.

W32/Rbot-WV ist ein Netzwerkwurm mit Backdoor-Funktionalität für die Windows-Plattform.

W32/Rbot-WV kann sich auf Computer im lokalen Netzwerk verbreiten, die durch einfache Kennwörter geschützt sind, nachdem er den entsprechenden Backdoor-Befehl erhalten hat. Der Wurm kann sich auch verbreiten, indem er zahlreiche Software-Schwachstellen ausnutzt.W32/Rbot-WV ist ein Netzwerkwurm mit Backdoor-Funktionalität für die Windows-Plattform.

W32/Rbot-WV kann sich auf Computer im lokalen Netzwerk verbreiten, die durch einfache Kennwörter geschützt sind, nachdem er den entsprechenden Backdoor-Befehl erhalten hat.

W32/Rbot-WV versucht sich zu verbreiten, indem er folgende Schwachstellen ausnutzt:

DCOM (MS04-012)
LSASS und IIS5SSL (MS04-011)
UPNP (MS01-059)
Workstation Service (MS03-049)
Pufferüberlauf in bestimmten Versionen von DameWare (CAN-2003-1030)
Microsoft SQL Server mit einfachen Kennwörtern
Backdoors und Schwachstellen, die von anderer Malware hinterlassen wurden

Wenn er das erste Mal gestartet wird kopiert sich W32/Rbot-WV als P3.EXE in den Windows-Systemordner und startet diese Kopie des Wurms. Die Kopie versucht, die originale Datei zu löschen. W32/Rbot-WV fügt folgende Registrierungseinträge hinzu, so dass er bei jeder Benutzeranmeldung startet:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MSPluginSrvc
p3.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSPluginSrvc
p3.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
MSPluginSrvc
p3.exe

Der Wurm läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den infizierten Computer über IRC-Kanäle.

W32/Rbot-WV verändert die folgenden Registrierungseinträge, um DCOM zu aktivieren bzw. zu deaktivieren und um Beschränkungen auf IPC$-Freigaben aufzuheben bzw. einzurichten:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous

W32/Rbot-WV kann den folgenden Registrierungseintrag ändern, um die anonyme Aufzählung von SAM-Konten einzuschränken:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymousSAM

W32/Rbot-WV kann Netzwerkfreigaben und Benutzer auf dem infizierten Computer hinzufügen und löschen. Der Wurm kann außerdem die Netzwerk-Anmelderechte von Konten in der Lokalen Sicherheitsrichtlinie ändern.