Traderboersenboard - Einzelnen Beitrag anzeigen - Teurer Informations-Service von T-Online

****** · 29-02-2004, 14:03

Nach Blaster nun Nachi . Der Robin Hood Virus

Erläuterung

W32/Nachi-B ist ein Wurm, der Dateien entfernt, die mit den Würmern W32/MyDoom-A und W32/MyDoom-B in Zusammenhang stehen.

W32/Nachi-B verbreitet sich, indem er folgende Microsoft-Schwachstellen ausnutzt:

- Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) Schwachstelle

Microsoft hat am 16. Juli 2003 ein Patch für die von diesem Wurm ausgenutzte Schwachstelle bereitgestellt. Das Patch steht unter http://www.microsoft.com/technet/se...in/MS03-026.asp zur Verfügung.

- WebDAV Schwachstelle und IIS5/WEBDAV Buffer Overrun Schwachstelle

Microsoft hat am 17. März 2003 ein Patch für die von diesem Wurm ausgenutzte Schwachstelle bereitgestellt. Das Patch steht unter http://www.microsoft.com/technet/se...in/MS03-007.asp zur Verfügung.

Wenn er ausgeführt wird, kopiert sich der Wurm in den Unterordner "Drivers" im Windows Systemordner, wobei er den Dateinamen svchost.exe verwendet. Der Wurm versucht außerdem, einige der folgenden Microsoft Patches herunterzuladen und auszuführen:

http://download.microsoft.com/downl...035-x86-CHS.exe

http://download.microsoft.com/downl...035-x86-KOR.exe

http://download.microsoft.com/downl...035-x86-ENU.exe

http://download.microsoft.com/downl...749-x86-CHS.exe

http://download.microsoft.com/downl...749-x86-KOR.exe

http://download.microsoft.com/downl...749-x86-ENU.exe

W32/Nachi-B sucht alle zwanzig Minuten nach einer Verbindung zum Internet, um zu versuchen sich mit microsoft.com, intel.com oder google.com zu verbinden. Außerdem versucht er, zufällig gewählte IP-Adressen zu infizieren, sofern die Verbindung erfolgreich war.

W32/Nachi-B will deinstalliert sich ab Juni 2004.

W32/Nachi-B kann Dateien mit den Erweiterungen SHTML, SHTM, STM, CGI, PHP, HTML, HTM und ASP mit einer HTML-Datei überschreiben, die folgenden Text enthält:

LET HISTORY TELL FUTURE !

1931.9.18
1937.7.7
1937.12.13 300,000 !

1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso

1945.8.15

Let history tell future !

Achtung . Worm verbreitet sich rasend im Internet. Sofort aktuelle Patches saugen. Achtung auch keine Firewall nützt !

29-02-2004, 14:03	#2
**** TBB Stammgast Registriert seit: Dec 2002 Ort: **** Beiträge: 8	Nach Blaster nun Nachi . Der Robin Hood Virus Erläuterung W32/Nachi-B ist ein Wurm, der Dateien entfernt, die mit den Würmern W32/MyDoom-A und W32/MyDoom-B in Zusammenhang stehen. W32/Nachi-B verbreitet sich, indem er folgende Microsoft-Schwachstellen ausnutzt: - Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) Schwachstelle Microsoft hat am 16. Juli 2003 ein Patch für die von diesem Wurm ausgenutzte Schwachstelle bereitgestellt. Das Patch steht unter http://www.microsoft.com/technet/se...in/MS03-026.asp zur Verfügung. - WebDAV Schwachstelle und IIS5/WEBDAV Buffer Overrun Schwachstelle Microsoft hat am 17. März 2003 ein Patch für die von diesem Wurm ausgenutzte Schwachstelle bereitgestellt. Das Patch steht unter http://www.microsoft.com/technet/se...in/MS03-007.asp zur Verfügung. Wenn er ausgeführt wird, kopiert sich der Wurm in den Unterordner "Drivers" im Windows Systemordner, wobei er den Dateinamen svchost.exe verwendet. Der Wurm versucht außerdem, einige der folgenden Microsoft Patches herunterzuladen und auszuführen: http://download.microsoft.com/downl...035-x86-CHS.exe http://download.microsoft.com/downl...035-x86-KOR.exe http://download.microsoft.com/downl...035-x86-ENU.exe http://download.microsoft.com/downl...749-x86-CHS.exe http://download.microsoft.com/downl...749-x86-KOR.exe http://download.microsoft.com/downl...749-x86-ENU.exe W32/Nachi-B sucht alle zwanzig Minuten nach einer Verbindung zum Internet, um zu versuchen sich mit microsoft.com, intel.com oder google.com zu verbinden. Außerdem versucht er, zufällig gewählte IP-Adressen zu infizieren, sofern die Verbindung erfolgreich war. W32/Nachi-B will deinstalliert sich ab Juni 2004. W32/Nachi-B kann Dateien mit den Erweiterungen SHTML, SHTM, STM, CGI, PHP, HTML, HTM und ASP mit einer HTML-Datei überschreiben, die folgenden Text enthält: LET HISTORY TELL FUTURE ! 1931.9.18 1937.7.7 1937.12.13 300,000 ! 1941.12.7 1945.8.6 Little boy 1945.8.9 Fatso 1945.8.15 Let history tell future ! Achtung . Worm verbreitet sich rasend im Internet. Sofort aktuelle Patches saugen. Achtung auch keine Firewall nützt ! __________________ My home is my castle Besucht mich mal. Wenn der Weise auf die Sterne deutet; sieht der Dumme nur die Finger Ignorlist: Rettet Deutschland vor Rot/Grün und Merkel sternchensflash