|
svchost.cmd, svchost32.exe, ntrootkit.exe, ntrootkit.regHijackThis O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd W32/Raleka Meldung vom 04.09.2003 Dieser Ende August aufgetauchte Wurm verwendet dieselbe Sicherheitslücke wie der Blaster-Wurm (alias Lovsan). Er installiert ein Backdoor-Programm, das via IRC auf Kommandos von potentiellen Angreifern wartet. Die vom Raleka-Wurm missbrauchte Sicherheitslücke in Windows NT 4.0, Windows 2000, Windows XP und Windows 2003 Server bewirkt, dass sich der Schädling via Netzwerk oder Internet direkt auf ungeschützten PCs installieren kann, ohne erst Mails zu verbreiten. Um sich zu verbreiten, scannt der Wurm einen ganzen zufällig gewählten Bereich von IP-Adressen, meist viele gleichzeitig. Findet er ein angreifbares System, erstellt er ein dort eine Datei namens down.com und führt sie aus. Ist dies gelungen, versucht diese Datei, vom angreifenden PC drei Dateien herunterzuladen. Gemäss F-Secure [4] sind das diese: - svchost32.exe : der Wurm selber - ntrootkit.exe : eine Backdoor-Komponente - ntrootkit.reg : der Registry-Eintrag für die Backdoor-Komponente Im Ordner C:\Windows\System32\ (bzw. C:\Winnt\System32\) legt er die zum Backdoor gehörenden Dateien ntrootkit.exe und ntrootkit.reg ab, und eine Datei namens svchost.cmd. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Avenger (Beispiel)
** Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen ** boote wieder in den Normalmodus ** scanne mit Kaspersky http://virus-protect.org/onlinescan.html # %System%\SVCHOST32.EXE (a copy of this malware) # %System%\NTROOTKIT.EXE (detected by Trend Micro as BKDR_NTRTKIT.A) # %system%\SERVICE.EXE (Service Installation Utility) |