WCM Forum - Einzelnen Beitrag anzeigen

anton60 · 21.11.2003, 22:55

schau einmal hier nach, vielleicht hilft das

Home Vireninfo Virenlexikon

W32/Agobot-S
Alias
Backdoor.Agobot.3.f, W32/Gaobot.worm.ab, W32.HLLW.Gaobot.AE, WORM_AGOBOT.AB

Typ
Win32-Wurm

Erkennung
Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung und ist ab Version Oktober 2003 (3.74) in Sophos Anti-Virus enthalten.

Zum jetzigen Zeitpunkt hat Sophos lediglich eine Meldung dieses Wurm als "in the wild" erhalten.

Erläuterung
W32/Agobot-S ist ein IRC-Backdoor-Trojaner und ein Netzwerkwurm.

W32/Agobot-S kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich mit Hilfe der Schwachstellen in DCOM RPC und im RPC Locator auf andere Computer auszubreiten.

Microsoft hat Patches für die Schwachstellen zur Verfügung gestellt, die dieser Wurm ausnutzt. Die Patches stehen zur Verfügung unter

http://www.microsoft.com/technet/sec...n/MS03-026.asp

und

http://www.microsoft.com/technet/sec...n/MS03-001.asp

Wenn er erstmals ausgeführt wird, kopiert sich als scvhost.exe W32/Agobot-S in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, so dass scvhost.exe automatisch gestartet wird, sobald Windows startet:

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Config Loader = scvhost.exe

und

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Config Loader = scvhost.exe

Auf Windows NT, 2000 und XP startet sich W32/Agobot-S selbst als neuer Dienst namens Cfgldr.

Sobald W32/Agobot-S gestartet wird, versucht er, sich mit einem remoten IRC-Server und einem bestimmten Kanal zu verbinden. W32/Agobot-S läuft daraufhin kontinuierlich im Hintergrund und ermöglicht einem Remote-Eindringling den Zugriff auf und die Steuerung über den Computer via IRC.

Wiederherstellung
Bitte folgen Sie den Hinweisen zum Entfernen von Würmern.

Bitte folgen Sie den Hinweise zum Entfernen von Würmern.

Siehe auch:

Melden Sie sich für die kostenlose Benachrichtigung über neue Viren "in the wild" an
Stellen Sie topaktuelle Informationen über Viren auf Ihre Website oder in Ihr Intranet

viel glück
grüße

21.11.2003, 22:55	#48
anton60 Jr. Member Registriert seit: 19.05.2001 Alter: 84 Beiträge: 74	gaobot-virus schau einmal hier nach, vielleicht hilft das Home Vireninfo Virenlexikon W32/Agobot-S Alias Backdoor.Agobot.3.f, W32/Gaobot.worm.ab, W32.HLLW.Gaobot.AE, WORM_AGOBOT.AB Typ Win32-Wurm Erkennung Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung und ist ab Version Oktober 2003 (3.74) in Sophos Anti-Virus enthalten. Zum jetzigen Zeitpunkt hat Sophos lediglich eine Meldung dieses Wurm als "in the wild" erhalten. Erläuterung W32/Agobot-S ist ein IRC-Backdoor-Trojaner und ein Netzwerkwurm. W32/Agobot-S kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich mit Hilfe der Schwachstellen in DCOM RPC und im RPC Locator auf andere Computer auszubreiten. Microsoft hat Patches für die Schwachstellen zur Verfügung gestellt, die dieser Wurm ausnutzt. Die Patches stehen zur Verfügung unter http://www.microsoft.com/technet/sec...n/MS03-026.asp und http://www.microsoft.com/technet/sec...n/MS03-001.asp Wenn er erstmals ausgeführt wird, kopiert sich als scvhost.exe W32/Agobot-S in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, so dass scvhost.exe automatisch gestartet wird, sobald Windows startet: HKLM\Software\Microsoft\Windows\CurrentVersion\ Run\Config Loader = scvhost.exe und HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServices\Config Loader = scvhost.exe Auf Windows NT, 2000 und XP startet sich W32/Agobot-S selbst als neuer Dienst namens Cfgldr. Sobald W32/Agobot-S gestartet wird, versucht er, sich mit einem remoten IRC-Server und einem bestimmten Kanal zu verbinden. W32/Agobot-S läuft daraufhin kontinuierlich im Hintergrund und ermöglicht einem Remote-Eindringling den Zugriff auf und die Steuerung über den Computer via IRC. Wiederherstellung Bitte folgen Sie den Hinweisen zum Entfernen von Würmern. Bitte folgen Sie den Hinweise zum Entfernen von Würmern. Siehe auch: Melden Sie sich für die kostenlose Benachrichtigung über neue Viren "in the wild" an Stellen Sie topaktuelle Informationen über Viren auf Ihre Website oder in Ihr Intranet viel glück grüße ____________________________________ anton