Benjamin greift KaZaa-User an

Dieses Thema im Forum "Sicherheit" wurde erstellt von hagen, 20. Mai 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. hagen

    hagen ROM

    Registriert seit:
    12. Mai 2000
    Beiträge:
    1
    KaZaa: Benjamin in Umlauf.

    Name: Win32.Worm.Benjamin
    Aliases: Worm.Kazaa.Benjamion
    Type: Executable Worm
    Size: variable
    Discovered: 20.05.02
    Detected: 20.05.02, 12:00 (GMT+2)
    Verbreitung: mittel
    Schaden: gering

    Symptome:

    - Programm-Hinweisbox siehe Grafiken:
    - http://www.pro-support.de/bin/avtools/benjamin2.gif

    - Folgender Registry-Schluessel
    System Service with value C:\Windows\System\explorer.scr
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    (HKLM = HKEY_LOCAL_MACHINE)

    - eine Menge von EXE und SCR Dateien mit Dateinamen, die Titel
    von Filmen, Songs und auch bekannter Software beinhalten.
    Wo?: im Temp-Verzeichnis: z.B. Windows\Temp\Sys32 directory

    Technische Beschreibung:

    Fuehrt ein Benutzer den Wurm aus, erscheint eine Hinweis-
    Box des Programmes mit dem folgenden Text:
    "Access error #03A:94574: Invalid pointer operation
    File possibly corrupted"

    - http://www.pro-support.de/bin/avtools/benjamin2.gif

    Danach schreibt der Wurm zwei Registry-Keys:

    "System Service" mit Inhalt: "C:\Windows\System\explorer.scr" in
    "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

    und

    "syscod" mit dem Wert "0065D7DB20008306B6A1" in
    "HKLM\Software\Microsoft"

    Dann kopiert er sich selbst nach

    Windows\System\explorer.scr

    und den oben angesprochenen Dateien mit Namen bekannter Filme etc.
    nach C:\Windows\Temp\Sys32.

    Ist Kazaa installiert, wird der "Share Folder" nach
    C:\Windows\Temp\Sys32 geaendert.

    Falls nun ein Nutzer nach einem dieser Titel sucht, findet er
    nun hier die verseuchten Dateien des Wurmes. Siehe auch
    - http://www.pro-support.de/bin/avtools/benjamin1.gif

    Payload:
    Der Wurm oeffnet den Internet-Explorer mit dem URL: benjamin.xww.de

    Der Inhalt der Domain ist IMHO sehr uninteressant. Wohl daher, da
    die Domain geschlossen wurde:

    ... Domain aufgrund von massiven Beschwerden gesperrt.
    ... Domain closed due to massive abuse.

    >>> Entfernung von Benjamin

    - manuell:

    Alle Dateien loeschen im (Temp-)Verzeichnis (oft:) C:\Windows\Temp\Sys32
    Datei explorer.scr in C:\Windows\System loeschen
    Per Regedit den Schluessel
    "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
    entfernen.

    - automatisch:

    Kostenloses Tool gegen Benjaminchen von Bitdefender- siehe zum Beispiel
    http://www.pro-support.de/antivirus.shtml

    [Bitdefender: http://www.bitdefender.com

    Free Tools: http://www.bitdefender.com/html/free_tools.php ]

    [Diese Nachricht wurde von hagen am 22.05.2002 | 13:06 geändert.]
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen