Mydoom-Wurm mit neuartigem Rootkit.Das Kernel-Rootkit kommt ohne Treiber aus. Der Programm-Code des Mydoom-Wurms dient schon seit einiger Zeit als Basis für weitere Würmer, zum Beispiel für die Mytob-Familie. Der finnische Antivirus-Hersteller F-Secure berichtet nun über einen neu entdeckten Wurm namens "Gurong.a", der eine bisher noch nicht beobachtete Rootkit-Technik einsetzt und aus Russland stammen soll.
Die Verbreitung von Gurong.a erfolgt per Mail und über das P2P-Netzwerk von Kazaa. Die Mails tragen einen unauffälligen Betreff wie etwa "Greetings!", "Hello friend ", "Hey dear!" oder "Re: Hello". Die Dateinamen der Mail-Anhänge reichen von "body.bat" über "document.pif" bis "sex_pics.scr". Über Kazaa verbreitet sich Gurong mit Dateinamen wie zum Beispiel "0day_patch.exe", "skype_video.scr" oder "xp_activation.pif".
Wird der Wurm ausgeführt, kopiert er sich zunächst als "wmedia16.exe" in das System-Verzeichnis von Windows. Er legt dann einen Registry-Eintrag an, damit diese Datei bei jedem Start von Windows ausgeführt wird:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WMedia16 = %System%\wmedia16.exe
Dabei steht %System% für das System-Verzeichnis, also etwa "C:\Windows\System32". Die von Gurong.a verwendete Rootkit-Technik benutzt ein so genanntes "Call Gate", um Befehle aus dem Adressbereich des angemeldeten Benutzers in den Kernel von Windows zu senden. Dadurch kann Gurong.a Dateien, Prozesse und Registry-Einträge verbergen ohne einen speziellen Treiber zu installieren, wie dies andere Kernel-Rootkits tun.
Ein Call Gate ist ein spezieller Mechanismus in x86-Prozessoren, der es erlaubt vordefinierte Befehle mit Systemrechten auszuführen. So ist der Programm-Code zum Verstecken von Dateien und Prozessen Teil des mit den Rechten des Benutzers laufenden Programms wmedia16.exe. Er kann jedoch mit Systemrechten Objektstrukturen manipulieren und Zeiger umbiegen, ohne dass der Benutzer die Rechte eines Administrators haben muss.
Nach Angaben von F-Secure ist Gurong.a in freier Wildbahn gesichtet worden, verbreitet sich jedoch eher langsam. F-Secures Rootkit-Detektor " Blacklight " https://europe.f-secure.com/blacklight/ soll Gurong.a entdecken und entfernen können.
2006-07-10 07:49:34
·
answer #1
·
answered by Anonymous
·
4⤊
4⤋
wollen wir tauschen??ich krieg deinen wurm und du meine eklige nachberin,hihi;))
SCHERZ;))
2006-07-12 06:20:33
·
answer #2
·
answered by Anonymous
·
0⤊
0⤋
Owei ^-^
GENAU den selben hatte ich auch, das bedeutet massenhaft Pop-Up Spam und spionage auf den Desktop.
Verzweifle nicht, google mal nach
"Ad-Aware SE Personal Edition" und downloade sie.
Das ist für private Nutzung absolut kostenlos und findet alle momentan verbreiteten Würmer und Trojaner.
Weil ich gut drauf bin, kriegst du auch einen Direktlink zum Download :D
Da unten steht er
2006-07-11 13:51:05
·
answer #3
·
answered by Avast! 1
·
0⤊
0⤋
du hast nen Wurm und ich hab nen Vogel*lach
hoffentlich kannst du den PC noch retten,hört sich übel an dem Namen nach...
2006-07-10 15:12:50
·
answer #4
·
answered by ? 6
·
0⤊
0⤋
Also, die Firma Norton bietet einen sogenannten Onlinecheck an, dabei wird dein PC über das Internet von Norton gescannt.
Zweitens kannst du beim Bürger-Cert nachfragen.
Das ist eine Institution des Bundes, die dir bei solchen Probs kostenlos helfen können.
2006-07-10 14:50:53
·
answer #5
·
answered by Anonymous
·
0⤊
0⤋
Der Wurm sollte eigentlich von den aktuellen Freeware-Scanner entfernt werden können. Das Problem ist, daß er auf einem geschützten Bereich auf der Platte befindet. Den dort liegen die Dateien zur Systemwiederherstellung. Dazu 2 Möglichkeiten
1.) Besorg dir eine startfähige Virenscanner CD
2.)Die Systemwiederherstellung unter Systemeigensyhaften->System deaktivieren
2006-07-10 14:44:19
·
answer #6
·
answered by Anonymous
·
0⤊
0⤋
zur aller größten not musst du den wurm per hand entvernen. versuch mal die datei zu finden und einfach zu löschen das klappt manchma. sonst müstest du dihn mit befehlen in progriersprache löschen und ich glaub das is nen bisel viel
2006-07-10 14:39:11
·
answer #7
·
answered by sams 2
·
0⤊
0⤋
hm.. schwierig. kopiere den exakten namen des schädlings und kopiere ihn in die google- oder yahoo-suche.
mit etwas glück findest du einen workaround, der aber leider auch versierte anwender ganz schön herausfordert. (im abgesichterten modus registry-schlüssel suchen und löschen etc...)
Wenn du sowas öfter hast, denk mal nach auf Linux umzuseteigen, da hast du solche Probleme nicht ;-)
2006-07-10 14:39:03
·
answer #8
·
answered by fretrunner 7
·
0⤊
0⤋
http://www.google.de/search?hl=de&q=WORM+VB.DZ.7&btnG=Suche&meta=lr%3Dlang_de
versuch es mal da und zwar rechts das was in der mitte ist vg hoffe es hilft dir weiter ;-)
2006-07-10 14:36:41
·
answer #9
·
answered by Anonymous
·
0⤊
0⤋
Virenscanner installieren !? z.B. http://www.freeav.de/ für private User.
Ansonsten versuchen das System im Notfall Modus zu starten (sprich ReperaturKonsole via Windows CD)
2006-07-10 14:35:55
·
answer #10
·
answered by Anonymous
·
0⤊
0⤋