Mydoom-Wurm mit neuartigem Rootkit

Diskutiere Mydoom-Wurm mit neuartigem Rootkit im IT-News Forum im Bereich IT-News; Der Programm-Code des Mydoom-Wurms dient schon seit einiger Zeit als Basis für weitere Würmer, zum Beispiel für die Mytob-Familie. Der finnische...
#1
Eric-Cartman

Eric-Cartman

Moderator
Threadstarter
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
38
Ort
In Windows Nr. 10
Der Programm-Code des Mydoom-Wurms dient schon seit einiger Zeit als Basis für weitere Würmer, zum Beispiel für die Mytob-Familie. Der finnische Antivirus-Hersteller F-Secure berichtet nun über einen neu entdeckten Wurm namens "Gurong.a", der eine bisher noch nicht beobachtete Rootkit-Technik einsetzt und aus Russland stammen soll.

Die Verbreitung von Gurong.a erfolgt per Mail und über das P2P-Netzwerk von Kazaa. Die Mails tragen einen unauffälligen Betreff wie etwa "Greetings!", "Hello friend :deal", "Hey dear!" oder "Re: Hello". Die Dateinamen der Mail-Anhänge reichen von "body.bat" über "document.pif" bis "sex_pics.scr". Über Kazaa verbreitet sich Gurong mit Dateinamen wie zum Beispiel "0day_patch.exe", "skype_video.scr" oder "xp_activation.pif".

Wird der Wurm ausgeführt, kopiert er sich zunächst als "wmedia16.exe" in das System-Verzeichnis von Windows. Er legt dann einen Registry-Eintrag an, damit diese Datei bei jedem Start von Windows ausgeführt wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WMedia16 = %System%\wmedia16.exe

Dabei steht %System% für das System-Verzeichnis, also etwa "C:\Windows\System32". Die von Gurong.a verwendete Rootkit-Technik benutzt ein so genanntes "Call Gate", um Befehle aus dem Adressbereich des angemeldeten Benutzers in den Kernel von Windows zu senden. Dadurch kann Gurong.a Dateien, Prozesse und Registry-Einträge verbergen ohne einen speziellen Treiber zu installieren, wie dies andere Kernel-Rootkits tun.

Ein Call Gate ist ein spezieller Mechanismus in x86-Prozessoren, der es erlaubt vordefinierte Befehle mit Systemrechten auszuführen. So ist der Programm-Code zum Verstecken von Dateien und Prozessen Teil des mit den Rechten des Benutzers laufenden Programms wmedia16.exe. Er kann jedoch mit Systemrechten Objektstrukturen manipulieren und Zeiger umbiegen, ohne dass der Benutzer die Rechte eines Administrators haben muss.

Nach Angaben von F-Secure ist Gurong.a in freier Wildbahn gesichtet worden, verbreitet sich jedoch eher langsam. F-Secures Rootkit-Detektor " Blacklight " soll Gurong.a entdecken und entfernen können.


Quelle: IDG Magazine Verlag GmbH/PC-WELT Online
 
#2
M

myoto

Gast
Ist doch nur ein Rootkit


Sony machte das doch auch! Wo ist das Problem?


Ich wette das die den Wurm-Hersteller jetzt verklagen werden wollen...
 
#3
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
ZITAT Die Verbreitung von Gurong.a erfolgt per Mail und über das P2P-Netzwerk von Kazaa. [/b]
Über Kazaa?Kann ich mir nicht vorstellen.So viele Leute nutzen doch gar nicht mehr Kazaa,den Schrott.
 
#5
Eric-Cartman

Eric-Cartman

Moderator
Threadstarter
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
38
Ort
In Windows Nr. 10
ZITATEr kann jedoch mit Systemrechten Objektstrukturen manipulieren und Zeiger umbiegen, ohne dass der Benutzer die Rechte eines Administrators haben muss.[/b]

Ein eingeschränktes Konto hilft da uch nicht mehr SuperTux!!!!

Der Wurm kommt so oder so durch mit oder ohne Admin konto
 
#6
F

Freak

Dabei seit
02.10.2002
Beiträge
1.101
Alter
32
Ort
Gundelfingen (Donau)
ZITAT Ein Call Gate ist ein spezieller Mechanismus in x86-Prozessoren, der es erlaubt vordefinierte Befehle mit Systemrechten auszuführen. [/b]
Da stehts, also bringen redizierte Systemrechte auch nichts mehr!

Mir ist es egal was auf meinem Rechner ist, so lange es den nicht langsamer oder Instabil macht! Habe auf meinem Rechner nichts zu verbergen! Wichtige Daten schreibe ich per Hand, da kann keiner ran! Und fertig! Klingt komisch, ist aber so!

Gruß Freak
 
#7
msueper

msueper

Dabei seit
20.01.2005
Beiträge
1.634
nen normales Benutzer kann nichts unter %SYSTEM% ablegen und somit ist der "Virus" erstmal etwas behindert...
 
#8
S

SuperTux

Gast
ZITAT(Eric-Cartman @ 25.03.2006, 14:45) Quoted post
ZITATEr kann jedoch mit Systemrechten Objektstrukturen manipulieren und Zeiger umbiegen, ohne dass der Benutzer die Rechte eines Administrators haben muss.[/b]

Ein eingeschränktes Konto hilft da uch nicht mehr SuperTux!!!!

Der Wurm kommt so oder so durch mit oder ohne Admin konto
[/b]
Ohne Admin-Rechte kann der Virus die Datei wmedia16.exe nicht anlegen, kann also nix machen!
 
#9
M

MoZ

Gast
ich bin auch immer als admin im i-net , hab aber herzlich wenig probs mit viren und co......
hab auch keinen bock mich immer umzumelden um was zu ändern .....
 
#11
M

MoZ

Gast
ich weiß wie "unsicher" das ist als admin im netz unterwegs zu sein , aber der gedanke einer einschränkung passt mir nicht! wie gesagt hatte ich noch keine probleme , und zu dem verweiß auf ein backup in diener signatur , frag ich mich , ob du alles auf einer partition speicherst?!?!? hab meine daten auf mehrere partitionen (mehrer hdd's) verteilt... ich verlier somit nix , ausser die einstellungen von meinem sys.....
naja , jedem das seine , vll werde ich irgendwann auch nur noch mit einem eingeschränkten konto online gehen , aber bis dahin behalte ich mein admin-konto bei.

greetz MoZ
 
#12
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
ZITAT vll werde ich irgendwann auch nur noch mit einem eingeschränkten konto online gehen , aber bis dahin behalte ich mein admin-konto bei.[/b]
Versuch das doch mal,das ist ja wohl nen Klacks mal eben so ein Konto einzurichten.Schon allein zur eigenen Sicherheit. :aah
 
#13
S

SuperTux

Gast
ZITAT(MoZ @ 26.03.2006, 20:19) Quoted post
aber der gedanke einer einschränkung passt mir nicht!
[/b]
Du wirst ja nicht eingeschränkt, sondern musst nur bei wichtigen Einstellungen oder Softwareinstallationen ein Passwort eingeben, damit es ausgeführt werden kann. So kann Schadsoftware nichts machen.

Denke, MS hat das Konto extra so genannt, damit User wie du davor abgeschreckt werden.


ZITAT(MoZ @ 26.03.2006, 20:19) Quoted post
und zu dem verweiß auf ein backup in diener signatur , frag ich mich , ob du alles auf einer partition speicherst?!?!? hab meine daten auf mehrere partitionen (mehrer hdd's) verteilt... ich verlier somit nix , ausser die einstellungen von meinem sys.....
[/b]
Kurzschluss durch defektes Netzteil, alle Festplatten gegrillt, wärst du nicht der Erste...
 
Thema:

Mydoom-Wurm mit neuartigem Rootkit

Mydoom-Wurm mit neuartigem Rootkit - Ähnliche Themen

  • Seitenladefehler Hotmail-Konto seit heute. Bei Hotmail/Outlook allgemein der Wurm drin?

    Seitenladefehler Hotmail-Konto seit heute. Bei Hotmail/Outlook allgemein der Wurm drin?: Hallo, seit heute, 11.02.2017, späten Nachmittag, kann ich mein Outlook/Hotmail-Konto nicht mehr abrufen. Ein Einloggen ist nicht mehr möglich...
  • TuneUp erkennt Java als W32.Mydoom

    TuneUp erkennt Java als W32.Mydoom: Also wegen diesem anderen Problem, das ich momentan habe, siehe JavaProzess; CPU wird nicht ausgelastet, habe ich mir TuneUp installiert. Dieses...
  • Internet-Wurm: "W32.Mydoom"

    Internet-Wurm: "W32.Mydoom": Hi Ich habe heute irgendwie diesen Wurm in meine Prozesse bekommen. Habe dann dieses Tool ausprobiert und trotzdem startet der Prozess von neuem...
  • AlphaShield schützt vor Attacken durch MyDoom !?

    AlphaShield schützt vor Attacken durch MyDoom !?: zu dieser Firewall eine Pressemeldung und was sagen die Experten dazu ?? :eh PRESSEMITTEILUNG Mönchengladbach den 09.02.2004 Firewall...
  • W32/Mydoom (alias Shimgapi, Novarg)

    W32/Mydoom (alias Shimgapi, Novarg): Am 26. Januar 2004 wurde offenbar ein sich schnell verbreitender Wurm freigelassen. Er tarnt sich oft als «unzustellbare Mail» und enthält eine...
  • Ähnliche Themen

    • Seitenladefehler Hotmail-Konto seit heute. Bei Hotmail/Outlook allgemein der Wurm drin?

      Seitenladefehler Hotmail-Konto seit heute. Bei Hotmail/Outlook allgemein der Wurm drin?: Hallo, seit heute, 11.02.2017, späten Nachmittag, kann ich mein Outlook/Hotmail-Konto nicht mehr abrufen. Ein Einloggen ist nicht mehr möglich...
    • TuneUp erkennt Java als W32.Mydoom

      TuneUp erkennt Java als W32.Mydoom: Also wegen diesem anderen Problem, das ich momentan habe, siehe JavaProzess; CPU wird nicht ausgelastet, habe ich mir TuneUp installiert. Dieses...
    • Internet-Wurm: "W32.Mydoom"

      Internet-Wurm: "W32.Mydoom": Hi Ich habe heute irgendwie diesen Wurm in meine Prozesse bekommen. Habe dann dieses Tool ausprobiert und trotzdem startet der Prozess von neuem...
    • AlphaShield schützt vor Attacken durch MyDoom !?

      AlphaShield schützt vor Attacken durch MyDoom !?: zu dieser Firewall eine Pressemeldung und was sagen die Experten dazu ?? :eh PRESSEMITTEILUNG Mönchengladbach den 09.02.2004 Firewall...
    • W32/Mydoom (alias Shimgapi, Novarg)

      W32/Mydoom (alias Shimgapi, Novarg): Am 26. Januar 2004 wurde offenbar ein sich schnell verbreitender Wurm freigelassen. Er tarnt sich oft als «unzustellbare Mail» und enthält eine...
    Oben