[RRDXA] WG: [bcc] Erneute Virenwarnung: Wurm W32.HLLW.Deadhat
Wilhelm Buescher
[email protected]
Mon, 9 Feb 2004 14:00:45 -0000
Hallo zusammen,
hier eine Info von Dieter, DF4RD...........
73 de Willi, DF8QB
-----Urspr=FCngliche Nachricht-----
Von: Dieter Dippel [mailto:[email protected]]=20
Gesendet: Montag, 9. Februar 2004 14:47
An: [email protected]
Betreff: [bcc] Erneute Virenwarnung: Wurm W32.HLLW.Deadhat
Hallo,
nur so ... zu Eurer Information ... fuer alle, die sich selbst als =
reine
"Anwender" und nicht als "PC-Gurus" betrachten ...
Deshalb "UNBEDINGT" einen aktuellen Virenscanner installieren bzw. zur
Sicherheit mit einem aktuellen Virenscanner die Festplatte(n) der/des =
PCs
scannen ...
Virenscanner und Infos findet man u.a.
http://www.heise.de/security/dienste/antivirus/
http://www.chip.de/artikel/c_artikel_8806005.html
www.tucows.de
Inwieweit dieser Virus zuschlagen wird ist im Moment noch nicht bekannt =
!
73 aus der "Outlook-freien Zone"
Dieter, DF4RD
************************************************************************=
****
http://www.heise.de/newsticker/meldung/44432
Meldung vom 09.02.2004 12:14=20
T=FCckischer Wurm bricht =FCber MyDoom-Hintert=FCr ein
Der bislang nur vereinzelt gesichtete neue Wurm W32.HLLW.Deadhat alias
Vesser bricht =FCber die von MyDoom.A und MyDoom.B ge=F6ffneten =
Hintert=FCrchen
ein. Auf befallenen Systemen setzt er sich dann selbst fest, in dem er
vorhandene MyDoom- W=FCrmer deinstalliert und versucht Firewalls sowie
Antivirenscanner zu deaktivieren. Anschlie=DFend verbreitet er sich =
weiter zu
anderen mit MyDoom infizierten Windows-Rechnern, die Backdoors auf den =
Ports
3127, 3128, und 1080 ge=F6ffnet haben. Entsprechende Ziele findet er =
durch
sequenzielles Erh=F6hen der eigenen IP-Adresse. Zudem kopiert er sich =
in die
Verzeichnisse des File-Sharing- Programms Soulseek und in =
Netzwerkfreigaben.
Auch Deadhat baut wieder Hintert=FCren ein, diesmal auf Port 2766. =
Verbindet
sich ein Angreifer auf diesen Port, kann er Programme hochladen, die =
der
Wurm ausf=FChrt -- denkbar sind weitere Trojaner, Keylogger und =
Proxies. NAI
will auch Befehlscode gefunden haben, um sich automatisch mit =
IRC-Channels
zu verbinden. Weitere Details zu dem Wurm sind den Beschreibungen der
Antivirenhersteller zu entnehmen. Einige Hersteller haben ihre
Viren-Signaturen bereits aktualisiert, leider nicht alle. =
Beispielsweise
bietet Symantec seine Signaturen per LiveUpdate erst zum 11. Februar =
an.
Auch NAI h=E4lt es nicht f=FCr n=F6tig, seine DAT- Files fr=FCher =
bereit zu stellen.
Der neue Wurm d=FCrfte sicher nicht der erste und letzte Sch=E4dling =
sein, der
mit MyDoom infizierte Rechner bef=E4llt. Glaubt man den Angaben der
Antivirenhersteller, sind weltweit mehrere Hunderttausend PCs mit dem =
Wurm
verseucht. Viele Anwender merken nicht einmal, dass ihr Rechner =
betroffen
ist und treffen keine Gegenma=DFnahmen. Damit bietet sich f=FCr Spammer =
und
Cracker=20
eine ideale Plattform, um weitere Angriffe vorzubereiten und =
durchzuf=FChren.
-----------------------------------------------------------------=20
Dieter Dippel, Zimmer 01.032 [email protected]
Universitaet Erlangen-Nuernberg, Regionales Rechenzentrum (RRZE)
Martensstrasse 1, D-91058 Erlangen
Telefon: +49 (0) 9131 85-27030 Fax: +49 (0) 9131 30 29 41
-----------------------------------------------------------------=20
---------------------------------------------------------------------
To unsubscribe, e-mail: [email protected]
For additional commands, e-mail: [email protected] List
archiv: http://www.bavarian-contest-club.de/bcc/
--- StripMime Report -- processed MIME parts ---
multipart/alternative
text/plain (text body -- kept)
text/html
The reason this message is shown is because the post was in HTML
or had an attachment. Attachments are not allowed. To learn how
to post in Plain-Text go to: http://www.expita.com/nomime.html ---