WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Software (http://www.wcm.at/forum/forumdisplay.php?f=5)
-   -   Mysterium (http://www.wcm.at/forum/showthread.php?t=136287)

sloopy 06.06.2004 23:12
Mysterium
 
Mysteriöser Virus!
Auf einem fremd Pc (Celeron 450)ein Virusbefall. Bei einem Virenscan jedesmal die Meldung: C: Winnt\system 32\ isass.exe hat einen Fehler verursacht. Fehlercode 128 das System wird heruntergefahren.
Soweit so gut, kennt man schon. Booten von W2K CD, neu installieren. Partition löschen, neue Partition, formatieren, neu installieren. Bis dahin alles OK. Einrichten des Internet Zugangs, dann Modem von Chello einschalten, nach 3 Minuten C:Winnt\system32\isass.exe.....
blablabla der selbe scheibenkleister wieder.
System check bei Symantec: Virus gefunden in Winnt\system32\Win932.exe
Virus W32 Randex.gen
Wer weis Rat ich bin am Ende mit meiner Weisheit.:rolleyes:

John_Doe 06.06.2004 23:19
vorm Internetaktivieren eine Firewall installieren? :confused:

Das kennt man aber auch schon ;)

DCS 06.06.2004 23:19
Goggle: http://www.sophos.de/virusinfo/analyses/w32randexy.html

W32/Randex-Y ist ein Netzwerkwurm mit Backdoor-Funktionen, der einem remoten Eindringling Zugriff auf und die Steuerung über den Computer via IRC-Kanälen ermöglicht.

W32/Randex-Y wählt zufällig IP-Adressen aus und versucht, sich mit IPC$-Freigaben zu verbinden, die einfache Kennwörter verwenden. Wenn die Verbindung erfolgreich war, kopiert sich der Wurm in folgende remote Speicherorte:

\ADMIN$\system32\msnv32.exe
\C$\WINNT\system32\msnv32.exe

W32/Randex-Y erstellt dann einen Zeitplan, nach dem die remote erzeugten Dateien ausgeführt werden.

Jedes Mal, wenn der Wurm ausgeführt wird, verbindet er sich mit einem remoten IRC-Server und einem bestimmten Kanal. Der Wurm läuft dann als Serverprozess im Hintergrund und wartet auf Befehle.



Mfg, DCS

_m3 06.06.2004 23:30
Re: Mysterium
 
Zitat:
Original geschrieben von sloopy
Soweit so gut, kennt man schon. Booten von W2K CD, neu installieren. Partition löschen, neue Partition, formatieren, neu installieren. Bis dahin alles OK. Einrichten des Internet Zugangs,
Firewall aktivieren

Zitat:
dann Modem von Chello einschalten

sloopy 06.06.2004 23:52
Danke für die prompte Auskunft, konnte die Firewall nicht aktivieren, da keine vorhanden ist. Werde morgen meine mitnehmen. Wieder was dazugelernt, nicht jeder hat was über für Sicherheit.;)

jak 07.06.2004 19:22
Andere Möglichkeit:
Eine Installationscd auf der das aktuellste SP integriert ist (slipstream), und die neuesten updates auch schon bei der Installation (gibts irgendwo im Internet, leider vergessen wo) draufgespielt werden.

BTW.: Am besten die Datei und Druckerfreigabe nur mit dem IPX-SPX Protokoll verknüpfen, nicht mit TCP/IP. IPX ist nicht routbar, kommt also nicht übers Kabelmodem hinaus.

Jak

John_Doe 07.06.2004 19:49
Zitat:
Original geschrieben von jak
Andere Möglichkeit:
Eine Installationscd auf der das aktuellste SP integriert ist (slipstream), und die neuesten updates auch schon bei der Installation (gibts irgendwo im Internet, leider vergessen wo) draufgespielt werden.
Direkt bei Microsoft? :D

Trotzdem würd ich mir eine Firewall wie zB ZoneAlarm installieren - meistens sind die Würmer ja schneller als MS mit den Patches...

sloopy 07.06.2004 20:09
Heute alles erledigt. Modem aus, Neuinstallation, Zone Alarm drauf und Modem ein und tschüß Virus.


Alle Zeitangaben in WEZ +2. Es ist jetzt 17:32 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag