Intrusion.Win.MSSQL.worm.Helkern
 

Hallo! Mein Kaspersky wirft immer diese Meldung aus:
07.08.2007 12:07:05

Intrusion.Win.MSSQL.worm.Helkern 72.54.118.146 UDP 1434


Was ist das? Und an was liegt das? Bitte um Support! Das nervt nämlich^^
Ist glaub ich kein Virus! Also Kaspersky meldet immer nur: Angriff auf IP adresse von Intrusion.Win.MSSQL.worm.Helkern oder so irgendwas wenn es nochmal kommt mach ich ein screen

mfG nOiZy

Das ist ein Exploit, das versucht wird bei dir zu installieren.
Es nutzt die "Buffer-Overlow-Vulnerability" von nicht gepatchten Windows-Systemen...

Kaspersky Lab Forum -> Ein Warnfenster ist erschienen - was tun? Punkt 7.2 lesen ;)

Hallo an alle. Helkern nervt wirklich ein wenig.
Interessant finde ich es wenn man einmal kurz eine Whois Abfrage startet zu der IP-Adresse.

z.B. 72.54.118.146 dann kommt das raus

IPv4-adress: 72.54.118.146
whois.nic.mil [0] Undefined error: 0

OrgName: CBEYOND COMMUNICATIONS, LLC
OrgID: CBEY
Address: 320 Interstate North Parkway
Address: Suite 300
City: Atlanta
StateProv: GA
PostalCode: 30339
Country: US

ReferralServer: rwhois://rwhois.cbeyond.net:4321/

NetRange: 72.54.0.0 - 72.54.255.255
CIDR: 72.54.0.0/16
NetName: CBEY
NetHandle: NET-72-54-0-0-1
Parent: NET-72-0-0-0-0
NetType: Direct Allocation
NameServer: INFINITY.CBEYOND.NET
NameServer: BEYOND.CBEYOND.NET
Comment: For prompt attention, please send all abuse (spam, DOS,
Comment: etc) correspondence to our Abuse handle...(abuse@cbeyond.net) -Cbeyond
Comment: rwhois.cbeyond.net:4321
RegDate: 2005-08-03
Updated: 2006-07-31

OrgAbuseHandle: ABUSE294-ARIN
OrgAbuseName: Cbeyond-Abuse
OrgAbusePhone: +1-678-424-2400
OrgAbuseEmail: abuse*cbeyond.net

OrgTechHandle: AI93-ARIN
OrgTechName: Admin IP
OrgTechPhone: +1-678-424-2400
OrgTechEmail: ip-admin*cbeyond.net


Oder der "nette" Versuch vor 10 min.


Abfrage nach IP-Adresse zu Name: 218.232.95.60
Zum Namen gehörende IP-Adresse : 218.232.95.60


Antwort des Whois-Servers whois.apnic.net:

% [whois.apnic.net node-2]
% Whois data copyright terms ********
inetnum: 218.232.0.0 - 218.233.255.255
netname: HANANET
descr: Hanaro Telecom Co.
descr: Kukje Electornics Cneter Bldg. 1445-3 Seocho-Dong Seocho-Ku
country: KR
admin-c: IS37-AP
tech-c: SH243-AP
remarks: ***********************************************
remarks: KRNIC of NIDA is the National Internet Registry
remarks: in Korea under APNIC. If you would like to
remarks: find assignment information in detail
remarks: please refer to the NIDA Whois DB
remarks: ***********************************************
remarks: ***********************************************
mnt-by: MNT-KRNIC-AP
mnt-lower: MNT-KRNIC-AP
changed: hostmaster*apnic.net 20011122
status: ALLOCATED PORTABLE
changed: hm-changed*apnic.net 20041007
source: APNIC

person: Inyup Sung
address: Hanaro Telecom Co.
address: Kukje Electornics Cneter Bldg. 1445-3 Seocho-Dong Seocho-Ku
address: SEOUL
address: 137-070
country: KR
phone: +82-2-106
fax-no: +82-2-6266-6483
e-mail: info*hananet.net
nic-hdl: IS37-AP
mnt-by: MNT-KRNIC-AP
changed: hostmaster*nic.or.kr 20010523
source: APNIC

person: Seungchul Hwang
address: Hanaro Telecom Co.
address: Kukje Electornics Cneter Bldg., 1445-3 Seocho-Dong Seocho-Ku
address: SEOUL
address: 137-070
country: KR
phone: +82-2-106
fax-no: +82-2-6266-6483
e-mail: info*hananet.net
nic-hdl: SH243-AP
mnt-by: MNT-KRNIC-AP
changed: hostmaster*nic.or.kr 20010523
source: APNIC

inetnum: 218.232.0.0 - 218.233.255.255
netname: HANANET-KR
descr: Hanaro Telecom Inc.
country: KR
admin-c: IM12-KR
tech-c: IM12-KR
status: ALLOCATED PORTABLE
mnt-by: MNT-KRNIC-AP
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
changed: hostmaster*nic.or.kr
source: KRNIC

In einer dritten ist dann auch einmal Peking vertreten.

PS: Vielleicht findet sich jemand, der das dann auch einmal einem Anfänger richtig erklären kann.
Editiert habe ich die aktiven Links, ich hoffe das war richtig so?

mfg severin

Hallo,
Ich mach mal den Erklärbär...:aplaus:
Obwohl eigentlich der Link von Rene-gad alles schon sagt,man müsste ihn halt mal lesen....:rolleyes:
Deine AV-Pappschachtel hat dich eine Menge Geld gekostet.Damit du nie den Eindruck bekommst das die Pappschachtel ihr Geld nicht wert ist, meldet sie sich von Zeit zu Zeit...
Obwohl du vermutlich in keinem Netzwerk bist,wird ein solches überwacht...:kloppen:
Stelle nicht mir die Frage nach dem Sinn ,stelle ihn bei Kaspersky......
Nun poppt dein Kasper mit diesem angeblichen Angriff auf und will damit seine Wichtigkeit unter Beweis stellen.Wenn deine Kasperskylizens abgelaufen ist,sollst du ja dort wieder verlängern....;)
Schaltest du die Netzwerküberwachung aus ist auch Schluß mit dieser überflüssigen Meldung...:Boogie:
Irrlicht

Hi,

Helkern ist ein Wurm, der nur auf Microsoft-MySQL-Server zielt. Der Fehler ist übrigens schon seit Jahren gepatcht, also selbst wenn Du so einen Server auf de System haben solltest (unwahrscheinlich), besteht kein Grund zur Sorge, da Du ja regelmäßig alle Sicherheitsupdates für deine Software installierst und da Kaspersky den Exploitversuch erkannt und blockiert hat. Daran, dass die Dinger im Internet immer noch unterwegs sind, kannst Du erkennen, dass veraltete und unsichere Systeme seit Jahren online sind.

Diese Firewalls neigen dazu, aus jedem Ping ein Drama zu machen, sonst wüsstest Du ja nicht, wie gut es ist, sie auf dem Rechner zu haben. Empfehlung: Warnmeldungen ausschalten. Verhindern könntest Du die "Angriffe" nur, indem Du deinen Rechner vom Internet trennst, die gehören zum Internet nun mal dazu. Oder Du legst dir einen Router zu, dann bleiben sie bereits dort hängen.

Gruß, Karl

Hehe die Erklärung ist Top :aplaus::aplaus::aplaus:

Dankeschön für die Erklärungen.

mfg severin