Maskierter Wurm zerstört Antiviren-Schutz

Mydoom-Hybrid "Plexus.a" nutzt MS-Sicherheitslücken

Der russische Anti-Viren-Spezialist Kaspersky Lab warnt vor dem neuen Internet-Wurm „Plexus.a“. Plexus versucht den Anti-Viren-Schutzschild des PCs zu zerstören, indem er das automatische Herunterladen von Anti-Virus-Updates verhindert.

Zu seiner Verbreitung maskiert sich der Wurm als Distributiv gängiger Anwenderprogramme und kann PCs über lokale Netzwerke, als E-Mail-Anhang oder via Dateitauschbörsen infizieren. Der Großteil der Infektionen erfolgt jedoch über die Sicherheitslücke der Microsoft Windows-Dienste LSASS und RPC/DCOM.

Nach seinem Start kopiert sich der Wurm in den Systemordner von Windows und registriert sich als „automatisch auszuführen“. Dadurch wird er bei jedem Hochfahren des PCs aktiviert. Nach dem Start scannt er das gesamte Dateisystem des Computers und versendet sich selbst an alle gefundenen E-Mail-Adressen. Eine weitere Gefahr stellt der „trojanische Teil“ von Plexus dar. Der Virus öffnet Port 1250 für einen Port-Scan und initiiert den Download und die Aktivierung bestimmter Dateien. Dadurch wird eine Remote-Steuerung des Rechners durch den Virenautor ermöglicht.

Der Malicious Code taucht in fünf unterschiedlichen E-Mail-Varianten auf, wobei Betreffzeile, Briefkorpus und Dateiname jeweils unterschiedlich sein können. Unverändert ist jedoch die Größe. Als komprimierte FSG-Datei beträgt sie 16.208 Bytes, entpackt 57.856 Bytes. Laut Analyse von Kaspersky basiert der Schädling auf dem Quellcode des Mydoom-Virus.

Für die Sicherheit des Rechners ist eine Aktualisierung des Betriebssystems unter Windows Update zu empfehlen. Führende Hersteller von Antiviren-Software haben außerdem Updates bereit gestellt.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

11 Kommentare zu Maskierter Wurm zerstört Antiviren-Schutz

Kommentar hinzufügen
  • Am 4. Juni 2004 um 19:44 von Gustav Grewe

    Gähn! Nicht schon wieder!
    Alle User mit einer vernünftigen Firewall können sich wieder hinlegen. Trost: es gibt ein Leben nach Microsoft.

    • Am 5. Juni 2004 um 11:28 von Torsten

      AW: Gähn! Nicht schon wieder!
      Leider schützt eine Firewall nicht vor verseuchten Mail-Anhängen oder den Dateien aus P2P-Netzwerken. So einfach ist das nun leider doch wieder nicht.

  • Am 5. Juni 2004 um 4:43 von Heinz Woelfel

    Typisch Profis.
    Man sagt zwar was der Wurm macht, aber wie man sich dagegen schützen kann oder mit welchem Programm, das wird nicht gesagt. Das ist typisch, Hinweis ja, Hilfe keine.

    • Am 5. Juni 2004 um 10:40 von O-Brian

      AW: Typisch Profis.
      Von wegen Typisch Profis, erstens steht doch in der Meldung über welchen Port sich der Virus verbreitet (nämlich 1250) Wenn man diesen Port auf seiner Firewall dicht hat ist man schon mal auf der sicheren Seite. Zudem wird auch beschrieben welche Dienste und Windows 2000/XP angegriffen werden (Lsass.exe) und unter Windows 9x ist das der RPC/DCOM Dienst Wer lesen kann ist klar im Vorteil. Dazu muss man sein System mit einem aktuellen Virenscanner auf dem Tagesaktuellen Stand halten.
      Bei diesem neuen Virus kann aber in den nächsten Tagen von einem der grossen Virenhersteller bestimmt ein sog. Removal Tool heruntergeladen werden.

      Oder das Betriebbsystem wechseln.. Ich habe seit 14 Tagen linux auf meinem PC und das läuft stabiler als mein EX-Windows

      Grützi O-Brian

    • Am 5. Juni 2004 um 11:26 von Torsten

      AW: Typisch Profis.
      Es sind mehrere, aber nicht gerade komplizierte Dinge, mit denen man sich vor diesem Wurm schützt. Einen guten Artikel habe ich hier gefunden:
      http://www.freakincage.org/portal/thread.php?threadid=2273&sid=
      Ich kann die Seite speziell für diese Dinge wärmstens empfehlen.

    • Am 5. Juni 2004 um 20:40 von Martin

      AW: Typisch Profis.
      Ich besitze zwei PC´s.
      Einer der Beiden ist ausschließlich zum Surfen da, der andere kommt nicht an meinen Router. Der PC mit dem ich ins Internet gehe, beinhaltet keinerlei private Daten, oder sonstsige Programme, die auf meine Person schließen lassen. Geschütz wird dieser durch einen Virenscanner und einen Firewall.

      Sollte es doch mal ein Virus schaffen meinen PC zu befallen, ist mir das so egal, wie wenn in China ein Fahrrad umfällt.

      Klingt etwas egoistisch und Einfälltig vielleicht. Aber ich habe einfach keine Zeit immer nach solchen Dingen zu gucken. Bei Kontakt Formatiere ich dann einfach meine Festplatte und das war´s dann… [Ausnahmen bestätigen die Regel: Zum Beispiel bei Firmen oder ähnlichen Institutionen geht das natürlich nicht so einfach, OK.]

      Das ist jedenfalls meine Meinung.
      Vielleicht bin ich ja nicht der Einzige, der so in diese Richtung denkt!?

      Gruß aus Bayern

  • Am 7. Juni 2004 um 3:09 von SATAN

    Plexuskrankheit
    Da wird mal wieder die grosse Panik gemacht, aber nen sinnvoller Link zum MS-Patch dafür gibt es nicht unter dem Artikel. Lizenzen hin oder her, in sonem Falle bin ich bereit das Urheber Gesetz zu brechen und würde den Patch direkt verlinken. Denkt mal drüber nach liebe Zdnet-Redaktion…

  • Am 7. Juni 2004 um 8:22 von Administrator

    Maskierter Wurm zerstört Antiviren-Schutz
    So langsam habe ich die Schnautze voll, von den Gehirnamputierten Idioten

    • Am 7. Juni 2004 um 9:21 von Oberlehrer

      AW: Maskierter Wurm zerstört Antiviren-Schutz
      "gehirnamputiert" (Adjektiv) schreibt man klein.

  • Am 7. Juni 2004 um 13:30 von Achmet

    "Führende Virenhersteller … "
    Letzter Satz des Artikels lautet so:
    "Führende Virenhersteller haben außerdem Updates bereit gestellt."

    Wenn der Satz so stimmt, ist das ja eine super Einnahmequelle. Nachdem man einen Virus programmiert hat, verkauft man gleich den Virenschutz mit ;-)

  • Am 17. Oktober 2004 um 10:48 von TUX

    MS und Sicherheit
    Wann beginnen die DAU endlich zu verstehen, dass MS eine never ending story ist, was die Sicherheit angeht.
    Bin sehr froh, daß Autos und Flugzeuge noch MS frei sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *