Es tauchen bereits die Varianten des Wurms auf.

Die neue Bezeichnung der datei ist winlog i n.exe, nicht zu verwechseln mit winlogon.exe.
Zusätzlich wird eine "yuetyutr.dll" erstellt.

Die Registry Einträge :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

winlogon = "winlogin.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

NdplDeamon = "winlogin.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

winlogon = "winlogin.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = "explorer.exe winlogin.exe"


Zudem erstellt der Wurm ein backup der datei winlogin.exe um sich im Falle einer Löschung wiederherzustellen.


Aktuell habe ich hier einen xp-Rechner(leider nur am Telefon,bisher) der die typischen Lovesansymptome zeigt (herunterfahren), ohne das ich auffällige Starteinträge bzw. irgendwas finden kann

Gibt es schon die dritte, vierte etc. Variante ?

Aber so ein infizierter Rechner kann ja auch quasi alles nachladen [img]graemlins/koch.gif[/img]

Wer weiß mehr ?


Domino

Ist der Patch eingespielt? Wurde die Systemwiederherstellung deaktiviert?

Ja klar, der Patch ist eingespielt.

Systemwiederherstellung deaktiviert.


Domino

[ 15. August 2003, 14:33: Beitrag editiert von: Domino ]

Hast du schon mal eine Überprüfung mit dem Analyse-Tool der PC-Welt durchgeführt? Probiere mal, ob das kleine Tool von Andreas Haak Besserung bringt. Nutze zudem alle verfügbaren Entfernungstools:

Bitdefender, KAV (clrav), Stinger.

Moin Domino,
diese Beschreibung von NAI klingt ganz nach 'Deinem' Wurm.

Nachtrag:
Symantec nennt das Ding W32.Randex.E

tschööö, DerBilk

[ 15. August 2003, 14:59: Beitrag editiert von: DerBilk ]

Ich fürchte der isses nicht.

Mit der Variante habe ich ja diesen Thread eröffnet, ist also schon gecheckt.

Zudem ist auf dem Rechner NAV installiert, der müsste ihn ja melden.




Domino

'Klassischer Fall' von Mißverständnis. Sorry!
Ich dachte die Dinge hättest Du manuell 'ermittelt'...

Dann weiß ich im Moment auch nicht weiter...

tschööö, DerBilk

Saaacht mal..:

kann es sein, dass die Asiaten schon Microdoof mit DDoS-Attacken angreifen ?
MS-Download bringt dauernd timeouts.. (aber Winupdate geht noch ..?)

(ICH hab den Patch zwar schoin lange, aber die lieben Kollegen müssen erstmal ServicePacks aufspielen )
oder ist das nur der ganz normale Jetzt-aber-schnell-WIN-Absichern-DL-Wahnsinn ?

</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares:
Saaacht mal..:

MS-Download bringt dauernd timeouts.. (aber Winupdate geht noch ..?)

</font>[/QUOTE]Was für Timeouts ? Beim Abruf der Seite oder beim Pingen ?
Hab eben auch mal den Host angepingt, scheint als würden sie ICMP unterdrücken, was ich gut verstehen kann.

Tja, der Wurm scheint immernoch "fleißig am Arbeiten zu sein". Meine Firewall blockt immer noch ab und an den 135 er.
*g endlich hat sich das Ding bewährt (die Firewall) [img]tongue.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von I_wanna_know:

*g endlich hat sich das Ding bewährt (die Firewall) [img]tongue.gif[/img] </font>[/QUOTE]Genau, nur durch die LogFunktion kriegt man den Spaß ja erst richtig mit

sonst ist die PFW natürlich unnötig, da Patch level & AV aktuell

P.S.: Timeout war beim Aufruf der MS-DL-Seiten

hay,
ja du solltest recht haben,da die DDoS attacke um 0.00 uhr beginnt müsste die erste welle ca. 16.00 uhr so in japan öä. losgegangen sein und um mitternacht stossen wir dazu.
wenn dann morgen nachmittag durch die usa (wenn der strom nicht wieder ausfällt..lol) der server wirklich ziemlich platt ist, werden wahrscheinleich auch noch hausmeister krause und co denken das es pfiffig wäre upzudaten und dann könnte die logik der coder sogar aufgehn.
gruss
peter
ps: das posting bezieht sich auf who cares frage...is klar oder?

@Domino, wichtig!

Du sagst, der Patch wurde eingespielt - war auch das aktuelle Service-Pack installiert?

hi @ all,

das ist keine variante des lovsan / msblast / blaster wurms. er nutzt zwar ebenfals die sicherheitslücke 'rpc dcom buffer overflow' aus und ist auch am 11. august entdeckt worden aber ansonsten eigenständig und heißt worm_rpcsdbot.a.

beschreibung und entfernungsanleitung gibt es hier...

grüße nico

Moin,

SP 1 ist installiert. :-(


Domino