[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Pruefen ob der Rechner infiziert ist

Date: Wed, 5 Dec 2001 10:03:38 +0100
From: "Meinhard Niebuer" <niebuer _at__ lhb.tu-darmstadt.de>
Subject: Re: Pruefen ob der Rechner infiziert ist
Ja, eine andere Meinung:

laut CERT wird auf Windows NT und Windows 2000-Rechnern
nicht kernel32.exe, sondern inetd.exe verwendet.

Insgesamt kommt je nach System noch eine Reihe von alternativen
Dateibezeichnungen in Frage, die auf
http://cert.uni-stuttgart.de/ticker/article.php?mid=606
dokumentiert sind.

NACH der Installation ist die Polymorphie des Wurms also eher gering,
die Pruefung also einfach. Vorher ist sie allerdings etwas groesser,
d.h. die infizierten Attachments koennen unterschiedliche Namen und
Endungen aufweisen (in Suedhessen kursiert eine .PIF-Variante des
BadTrans-Attachments, nicht die bisher hier besprochene .SCR-Linie,
und CERT hat eine ganze Reihe von Dateinamen dokumentiert).

Alles uebrige kann sehr gut beim CERT nachgelesen werden.
Die manuelle Entfernung des Virus ist uebrigens sehr einfach, nur
muss beachtet werden, dass die Beendigung von Kernel32.exe /
inetd.exe ueber den Taskmanager nicht immer die beste Loesung ist.

Stattdessen empfehle ich auf Windows 9x/ME den Neustart mit
"Einzelbestaetigung". Diese Option erhaelt man im Bootmenue, das
waehrend des Bootvorgangs mit der Taste F8 aufgerufen werden kann.
Bei der folgenden Anfrage, ob die Systemregistrierung verarbeitet
werden soll, "Nein" antworten - und nicht wundern, dass die
Oberflaeche dann etwas anders aussieht.

Danach wie beim CERT beschrieben weiterverfahren, schliesslich
nochmal booten, um wieder die gewohnte Oberflaeche zurueckzuerhalten.

Gruss, Niebuer


From:           	schneider _at__ zbmed.uni-koeln.de
To:             	Internet in Bibliotheken <INETBIB _at__ ub.uni-dortmund.de>
Subject:        	Pruefen ob der Rechner infiziert ist
Date sent:      	Mon, 3 Dec 2001 16:46:59 +0100
Send reply to:  	Internet in Bibliotheken <INETBIB _at__ ub.uni-dortmund.de>

> Die Frage ob der Rechner infiziert ist (es geht um den Wurm Badtrans.B)
> oder nicht laesst sich meiner Meinung leicht klaeren.
>
> Dazu folgende Angaben (NetworkWorld News-Meldung vom 27.11.2001::
> Die trojanische Komponente wird laut BSI als Datei »kdll.dll« im
> Verzeichnis \Windows\System abgelegt. Der Wurm selbst kopiere sich als
> Datei »kernel32.exe« in das selbe Verzeichnis und registriere sich zudem
> unter dem Namen »Kernel32« im System.
>
> Wenn also auf dem eigenen Rechner die Dateien kdll.dll und kernel132.exe
> nicht verzeichnet sind, sollte der Rechner meiner Meinung nach nicht
> infiziert sein. Gibt es andere Meinungen?
>
> Gruesse aus Koeln
> Silke Schneider
>
>
> _________________________________
>
> Dr. Silke Schneider
> Deutsche Zentralbibliothek fuer Medizin
> Projekt Virtuelle Fachbibliothek Medizin
> Joseph-Stelzmann-Str. 9
> D-50931 Koeln
>
> Telefon: 0221-478-7115
> Mail: schneider _at__ zbmed.uni-koeln.de
> www.zbmed.de
>
>
>
> Hier die vollstaaendige NetworkWorld News-Meldung vom 27.11.2001:
>
> Neuer Internetwurm verbreitet sich mit hoher Geschwindigkeit
>
>
> Der neu entdeckte E-Mail-Wurm »Badtrans.B« verbreitet sich offenbar
> schneller im weltweiten Datennetz als bereits bekannte Varianten. »Bei uns
> prasseln Virusmeldungen in extremer Höhe ein«, sagt Michael Dickkopf,
> Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik
> [1] (BSI) in Bonn. So viele Meldungen habe es bei anderen Würmern nicht
> gegeben.
>
> Badtrans.B, eine Kombination aus Wurm und Trojanischem Pferd, tauchte am
> 24. November zum ersten Mal auf. Laut BSI verbreitet er sich per selbst
> versendeter E-Mail und installiert ein im Anhang verstecktes Programm auf
> den infizierten Computern. Dieser Trojaner amens »Trojan.PSW.Hooker«
> zeichne anschließend die Tastatureingaben der Nutzer auf und versende sie
> per E-Mail. Vermutlich sollten auf diese Weise Passwörter der
> Computernutzer ausgespäht werden. Zu erkennen sei der Wurm an einem »Re:«
> in der Betreffzeile der E-Mail, die ansonsten meistens keinen Text
> enthalte. Verdächtig ist auch jedes Attachment mit zwei Extensions wie
> beispielsweise ».txt.pif«.
>
> Verglichen mit bereits bekannten Würmern ist Badtrans.B offenbar besonders
> hartnäckig: Zwar werde er von den meisten Antiviren-Programmen erkannt, so
> Michael Dickkopf. Habe er jedoch bereits den Rechner infiziert, lasse er
> sich etwa bei den Betriebssystemen Windows 95 und 98 nur noch sehr schwer
> entfernen. Dazu müssten Nutzer den Computer im abgesicherten Modus starten
> und die entsprechenden Dateien manuell entfernen.
>
> Die trojanische Komponente wird laut BSI als Datei »kdll.dll« im
> Verzeichnis \Windows\System abgelegt. Der Wurm selbst kopiere sich als
> Datei »kernel32.exe« in das selbe Verzeichnis und registriere sich zudem
> unter dem Namen »Kernel32« im System. Erkannt werden könne Badtrans.B auch
> am Namen der angehängten Datei, die der Wurm zufällig aus einer Liste
> auswähle, so Michael Dickkopf weiter. Unter anderem verwende er etwa die
> Wörter »Fun«, »Humor« oder »You_are_fat«.
>
> Internetnutzer können sich Michael Dickkopf zufolge am besten dadurch
> schützen, dass sie grundsätzlich keine verdächtigen Attachments öffneten
> und ihre Antiviren-Software auf einem aktuellen Stand hielten. Beim
> Microsoft-Browser Internet Explorer sollte zudem grundsätzlich die
> Autovorschau deaktiviert sein, damit schädliche E-Mail-Attachments sich
> nicht automatisch öffnen könnten. Weitere Informationen über BadTrans.B
> und den Virenschutz allgemein gibt es auf der Homepage des BSI im
> Internet: www.bsi.de [2]. (dpa/afi)
>
>
>
>
Prev by Date: Archive der Frankfurter Schule
Next by Date: London: Wiener Library su. Cataloguer
Previous by thread: Pruefen ob der Rechner infiziert ist
Next by thread: Re: Pruefen ob der Rechner infiziert ist
Index(es):
- Date
- Thread
Listeninformationen unter http://www.inetbib.de.