MSI Endanwender-Forum

News und Sonderforen => Foruminformationen => Thema gestartet von: Psychodelik am 05. Juni 2004, 09:36:47

Titel: Maskierter Wurm zerstört Anti-Viren-Schutz
Beitrag von: Psychodelik am 05. Juni 2004, 09:36:47
Hi MSI Freaks,

die drecks Viren und Würmer schlagen wieder zu.

Der russische Anti-Viren-Spezialist Kaspersky Lab warnt vor dem neuen Internet-Wurm „Plexus.a”. Plexus versucht den Anti-Viren-Schutzschild des PCs zu zerstören, indem er das automatische Herunterladen von Anti-Virus-Updates verhindert.

Zu seiner Verbreitung maskiert sich der Wurm als Distributiv gängiger Anwenderprogramme und kann PCs über lokale Netzwerke, als E-Mail-Anhang oder via Dateitauschbörsen infizieren. Der Großteil der Infektionen erfolgt jedoch über die Sicherheitslücke der Microsoft Windows-Dienste LSASS und RPC/DCOM.

Nach seinem Start kopiert sich der Wurm in den Systemordner von Windows und registriert sich als „automatisch auszuführen”. Dadurch wird er bei jedem Hochfahren des PCs aktiviert. Nach dem Start scannt er das gesamte Dateisystem des Computers und versendet sich selbst an alle gefundenen E-Mail-Adressen. Eine weitere Gefahr stellt der „trojanische Teil” von Plexus dar. Der Virus öffnet Port 1250 für einen Port-Scan und initiiert den Download und die Aktivierung bestimmter Dateien. Dadurch wird eine Remote-Steuerung des Rechners durch den Virenautor ermöglicht.

Der Malicious Code taucht in fünf unterschiedlichen E-Mail-Varianten auf, wobei Betreffzeile, Briefkorpus und Dateiname jeweils unterschiedlich sein können. Unverändert ist jedoch die Größe. Als komprimierte FSG-Datei beträgt sie 16.208 Bytes, entpackt 57.856 Bytes. Laut Analyse von Kaspersky basiert der Schädling auf dem Quellcode des Mydoom-Virus.

PSYCHO
Titel: Maskierter Wurm zerstört Anti-Viren-Schutz
Beitrag von: der Notnagel am 05. Juni 2004, 09:59:19
Hi Psychodelik,

Quellenangabe!

Lernst du es nie? Es gibt auch hier einen Urheberschutz.

der Notnagel
Titel: Maskierter Wurm zerstört Anti-Viren-Schutz
Beitrag von: Psychodelik am 05. Juni 2004, 10:28:50
Uuupppsss, SORRY.

Quelle ist http://www.computerbase.de

PSYCHO

[EDIT] Dann schon eher so: Compubase (http://www.computerbase.de/news/internet/hacker_sicherheit/2004/juni/maskierter_wurm_antivirenschutz/)
Mit voller URL!
der Notnagel