rocky7-Board, das Allround-Forum
   Registrierung Kalender Mitgliederliste Teammitglieder Suche Häufig gestellte Fragen Galerie Zur Startseite Zum Portal

| TOP 1000 | SchanzerForum | rocky7-TOPLIST | rocky7-Fotografie | rocky7 by flickr.com |

rocky7-Board, das Allround-Forum » Computersicherheit » [ Computer - Ecke ] » News&.Allgemeines zu IT-Security » Windows Wuermer bauen Warez Netze » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Windows Wuermer bauen Warez Netze
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

NoName NoName ist männlich
Foren As


images/avatars/avatar-1567.gif

Dabei seit: 31.05.2002
Beiträge: 7.714
Btr. System: VISTA Ultimate64
Herkunft: Falken
I-NET Leitung: S-DSL
CPU: Q6600@3600
Motherboard: Asus Maximus F. SE
Hat das Board gefunden durch: Freund
Grafikkarte: 8800GTS MB640

Bewertung: 
41 Bewertung(en) - Durchschnitt: 7,27

Level: 60 [?]
Erfahrungspunkte: 49.251.660
Nächster Level: 55.714.302

6.462.642 Erfahrungspunkt(e) für den nächsten Levelanstieg

Achtung Windows Wuermer bauen Warez Netze Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen

Vom AusCERT wird eine Reihe von kompromittierten Windows Systemen
beobachtet, wobei das Muster auf einen Wurm oder Wurm-aehnliches Tool
hinweist, wie es im AusCERT Advisory AA-2002-03 beschrieben wurde
(http://www.auscert.org.au/render.html?it=2228 und
http://www.auscert.org.au/render.html?it=2229). Betroffen sind
Windows NT, Windows 2000 und Windows XP.

Der "Wurm"

- - legt die Verzeichnisse
%SystemRoot%\samples und
%SystemRoot%\system32\s an.

- - erzeugt den Registry Key "Service" in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
welcher die Programme "exec.exe" and "services.exe" startet.

- - startet einen FTP Server mit dem Namen "svchost" unter den Port 6640/tcp
und 43958/tcp unter %SystemRoot%\samples\svchost.exe, welcher
wiederum vom FireDaemon Utility gestartet wird. Letzteres ist im
Task-Manager bzw. in der Management Konsole sichtbar. FireDaemon ist
ein Tool aehnlich inetd unter UNIX.

- - versucht Verbindungen zu verschiedenen IRC-Servern auf Port 6667/tcp
zu oeffnen. Ueber diese Verbindungen wird er vermutlich gesteuert.
Zu der IRC Verbindung gehoert auch ein Ident Server auf Port 113/tcp
mit dem Prozessnamen "services" unter %SystemRoot%\samples\s\services.exe.

Achtung: services.exe, svchost.exe gehoeren im Verzeichniss
%SystemRoot%\system32 zur normalen Systemausstattung von Windows
NT/2000/XP. Die trojanisierten Versionen lassen sich jedoch nicht
mit dem Task-Manager beobachten. Mit entsprechenden Tools wie
z.B. FPort lassen sich die Trojaner jedoch auffinden
(http://www.foundstone.com/knowledge..._detection.html)

Die FTP-Server werden zur Verteilung von urheberrechtlich geschuetzter
Werke, wie Software, Musik- und Videoclips, etc. (sog. Warez) verwendet.

Dem DFN-CERT sind einige Faelle bekannt, in denen ein Warez-FTP-Server
unter dem Namen "svchost" aufgetaucht ist. Es ist also davonauszugehen,
das dieser "Wurm" auch in Deutschland aktiv ist.

Da der genaue Infektionsweg noch nicht bekannt ist, koennen leider nur
allgemeine Hinweise zur Absicherung gegeben werden:

- - Sperren sie alle nicht benoetigten Ports mit Paketfiltern,
insbesondere die Ports fuer NetBIOS (135, 137, 138, 139, und 445,
TCP und UDP), Internet Relay Chat (6660-7002/tcp) sowie die fuer
File-Sharing Netzwerke (z.B. 1214, 1285, 1299, 1331,1337, 3135,
3136, 3137 fuer KaZaA; 6699, 8875, 8876, 8888 fuer Napster; 6257,
6699 fuer WinMX Client fuer Napster oder 6346, 6347 fuer Gnutella).
Deaktivieren sie auch alle nicht-benoetigten Dienste und Programme.

- - Installieren sie alle Sicherheitspatches und Updates sowie die
aktuellen Pattern-Daten ihres Virusscanners.

- - Verwenden sie Sicherheitssoftware, die mittels cryptographischer
Pruefsummen Software ueberprueft, die neue Netzwerkverbindungen
oeffnen will.

- - Sorgen Sie dafuer, das alle Verzeichnisse, Dateien und Registry-Keys
moeglichst restriktive Erlaubnissrechte haben. Fuer alle Accounts
sollten nicht leicht zu ratende Passworte vergeben und minimale
Privilegien gesetzt sein.

(c) der deutschen Zusammenfassung bei DFN-CERT GmbH; die Verbreitung,
auch auszugsweise, ist nur unter Hinweis auf den Urheber, DFN-CERT GmbH,
und nur zu nicht kommerziellen Zwecken gestattet.

 

 

 

 

 



__________________

30.10.2002 11:09 NoName ist offline Beiträge von NoName suchen Nehmen Sie NoName in Ihre Freundesliste auf
Der Betreiber und die Moderatoren vom rocky7-Board distanzieren sich hiermit ausdrücklich vom Inhalt des von NoName am 30.10.2002 um 11:09 verfassten Beitrages.
Sollte dieser Beitrag Ihre Rechte verletzen, bitten wir um Benachrichtigung
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
rocky7-Board, das Allround-Forum » Computersicherheit » [ Computer - Ecke ] » News&.Allgemeines zu IT-Security » Windows Wuermer bauen Warez Netze

Forensoftware: Burning Board 2.3.6 pl2, entwickelt von WoltLab GmbH

Besucher heute: 40 Besucher gestern: 398 Besucher gesamt: 4940012
Bisher wurden 846 Angriffe protokolliert und davon 846 erfolgreich abgewehrt.


Impressum | Team | Suchen | Hilfe | Meinewebgalerie.de