12.01. W32/Randex-Y
--------------------------------------------------------------------------------
W32/Randex-Y
Alias
WORM_RANDEX.GEN, Backdoor.IRCBot.gen
Typ
Win32-Wurm
Erkennung
Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung und wird ab Version März 2004 (3.79) in Sophos Anti-Virus enthalten sein.
Zum jetzigen Zeitpunkt hat Sophos lediglich eine Meldung dieses wurms als "in the wild" erhalten.
Erläuterung
W32/Randex-Y ist ein Netzwerkwurm mit Backdoor-Funktionen, der einem remoten Eindringling Zugriff auf und die Steuerung über den Computer via IRC-Kanälen ermöglicht.
W32/Randex-Y wählt zufällig IP-Adressen aus und versucht, sich mit IPC$-Freigaben zu verbinden, die einfache Kennwörter verwenden. Wenn die Verbindung erfolgreich war, kopiert sich der Wurm in folgende remote Speicherorte:
\ADMIN$\system32\msnv32.exe
\C$\WINNT\system32\msnv32.exe
W32/Randex-Y erstellt dann einen Zeitplan, nach dem die remote erzeugten Dateien ausgeführt werden.
Jedes Mal, wenn der Wurm ausgeführt wird, verbindet er sich mit einem remoten IRC-Server und einem bestimmten Kanal. Der Wurm läuft dann als Serverprozess im Hintergrund und wartet auf Befehle.
Wenn er erstmals ausgeführt wird, kopiert sich der Wurm als IRBMe.exe in den Windows-Systemordner und fügt folgende Registrierungseinträge hinzu, die auf diese Kopie des Wurms verweisen, um sicherzustellen, dass er beim Systemstart aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IRBMe Sucks!!
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\IRBMe Sucks!!
W32/Randex-Y kann die Datei remove.bat im Windows temp-Ordner erstellen. Diese Datei ist nicht schädlich und kann einfach gelöscht werden.
Wiederherstellung
Bitte folgen Sie den Hinweisen zum Entfernen von Würmern.
Löschen Sie die Datei remove.bat im Windows temp-Ordner, sofern sie dort vorhanden ist.
Überprüfen Sie Ihre Administrator-Kennwörter und die Sicherheit in Ihrem Netzwerk.
Sie müssen folgende Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IRBMe Sucks!!
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\IRBMe Sucks!!
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
--------------------------------------------------------------------------------
W32/Randex-Y
Alias
WORM_RANDEX.GEN, Backdoor.IRCBot.gen
Typ
Win32-Wurm
Erkennung
Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung und wird ab Version März 2004 (3.79) in Sophos Anti-Virus enthalten sein.
Zum jetzigen Zeitpunkt hat Sophos lediglich eine Meldung dieses wurms als "in the wild" erhalten.
Erläuterung
W32/Randex-Y ist ein Netzwerkwurm mit Backdoor-Funktionen, der einem remoten Eindringling Zugriff auf und die Steuerung über den Computer via IRC-Kanälen ermöglicht.
W32/Randex-Y wählt zufällig IP-Adressen aus und versucht, sich mit IPC$-Freigaben zu verbinden, die einfache Kennwörter verwenden. Wenn die Verbindung erfolgreich war, kopiert sich der Wurm in folgende remote Speicherorte:
\ADMIN$\system32\msnv32.exe
\C$\WINNT\system32\msnv32.exe
W32/Randex-Y erstellt dann einen Zeitplan, nach dem die remote erzeugten Dateien ausgeführt werden.
Jedes Mal, wenn der Wurm ausgeführt wird, verbindet er sich mit einem remoten IRC-Server und einem bestimmten Kanal. Der Wurm läuft dann als Serverprozess im Hintergrund und wartet auf Befehle.
Wenn er erstmals ausgeführt wird, kopiert sich der Wurm als IRBMe.exe in den Windows-Systemordner und fügt folgende Registrierungseinträge hinzu, die auf diese Kopie des Wurms verweisen, um sicherzustellen, dass er beim Systemstart aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IRBMe Sucks!!
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\IRBMe Sucks!!
W32/Randex-Y kann die Datei remove.bat im Windows temp-Ordner erstellen. Diese Datei ist nicht schädlich und kann einfach gelöscht werden.
Wiederherstellung
Bitte folgen Sie den Hinweisen zum Entfernen von Würmern.
Löschen Sie die Datei remove.bat im Windows temp-Ordner, sofern sie dort vorhanden ist.
Überprüfen Sie Ihre Administrator-Kennwörter und die Sicherheit in Ihrem Netzwerk.
Sie müssen folgende Registrierungseinträge bearbeiten, sofern sie vorhanden sind. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\IRBMe Sucks!!
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\IRBMe Sucks!!
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
Dieses Jahr ist unser Jahr und dafür werden wir kämpfen!
Proud to be Ultra'05'Speldorf