hallo,
da der wurm
nachi.b bei einigen überhand nimmt, eine kleine anleitungshilfe zur manuellen entfernung, wenn man ein removaltool mal nicht so schnell zur stelle hat! ob er bei euch noch aktiv ist oder nicht, lest es euch durch und kontrolliert am besten euer system nochmals!
vorab ein paar infos zu diesem bösewicht.
der wurm
worm.nachi.b.1 & worm.nachi.b.2 ist auch bekannt unter folgenden alias:
w32/nachi.worm.b, w32.welchia.b.worm, worm_nachi.b
er befällt ausschließlich
win nt/2000/xp systeme und nutzt dabei eine schwäche (pufferüberlauf oder buffer overrun) in remoteprozeduraufruf schnittstelle (rpc-interface)aus und versucht bei erfolgreicher installation die prozess der würmer
mydoom.A & mydoom.B zu beenden und diese zu löschen. (d.h. nicht, daß man den wurm mydoom auf seinem system hat!!)
zusätzlich bringt er seine eigenen web server mit.
der wurm
löscht sich selbst ab dem
01.06.2004
er versucht von der microsoftseite folgende patches herunterzuladen und zu installieren:
hier für die deutschen betriebssysteme:
h**p:// download.microsoft.com/ download/ 4/ d/ 3/ 4d375d48-04c7-411f-959b-3467c5ef1e9a/ WindowsXP-KB828035-x86-CHS.exe
h**p:// download.microsoft.com/ download/ a/ 4/ 3/ a43ea017-9abd-4d28-a736-2c17dd4d7e59/ WindowsXP-KB828035-x86-KOR.exe
h**p:// download.microsoft.com/ download/ e/ a/ e/ eaea4109-0870-4dd3-88e0-a34035dc181a/ WindowsXP-KB828035-x86-ENU.exe
h**p:// download.microsoft.com/ download/ 9/ c/ 5/ 9c579720-63e9-478a-bdcb-70087ccad56c/ Windows2000-KB828749-x86-CHS.exe
h**p:// download.microsoft.com/ download/ 0/ 8/ 4/ 084be8b7-e000-4847-979c-c26de0929513/ Windows2000-KB828749-x86-KOR.exe
h**p:// download.microsoft.com/ download/ 3/ c/ 6/ 3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/ Windows2000-KB828749-x86-ENU.exe
quelle: bei jeder bekannten av-homepage
dadurch, daß er seinen eigenen server mitbringt, versucht er sich in bestimmten zeitabständen mit dem internet zu verbinden um zufällig gewählte ip-adressen zu infizieren.
befinden sich dateien mit folgenden
dateiendungen auf dem system,
asp, htm, html, php, cgi, stm shtml überschreibt er diese und bringt bei ausführung dieser einen sinnlosen text.
LET HISTORY TELL FUTURE !
1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso
1945.8.15
Let history tell future !
der wurm erstellt eine
svchost.exe in einem unterordner
drivers oder auch
os2 im folgendem verzeichnis:
c:\windows\system32\
oder
c:\winnt\system32\ und startet sich als windowsprozess. somit ist erstx sichergestellt, daß die korruppte
svchost.exe nicht so schnell entdeckt wird, da der
taskmanager leider nur die
prozessnamen aufführt aber nicht deren
speicherort. um immer zu überprüfen, daß dieser prozess stets aktiv ist, läuft noch ein hilfsdienst im hintergrund mit, die
wkspath.exe oder auch
wkspatch.exe, der auch in den
windows-diensten eingetragen ist, welche die aufgabe hat, zu überprüfen, ob die koruppte datei
svchost.exe auch schön brav als
prozess gestartet ist. sollte diese gekillt worden sein, wird sie durch diese hilfsdatei wieder gestartet.
der
dienst kann verschiedene namen haben, die wahllos gewählt werden. hier eine kleine auflistung, die aber nicht vollständig ist:
internet, license, network, performance, remote, routing, security, system.
sollte euer system vom
w32.worm.nachi.b.1 befallen sein, könnt ihr zahlreiche removaltools verwenden oder aber ihr versucht diesen manuell zu enfernen.
vorgehensweise:
als erstes öffnet ihr die
registry und hangelt euch zu folgendem schlüssel durch:
hklm\software\microsoft\windows\currentversion\run
dort solltet ihr nach folgendem oder ähnlichem eintrag auf der rechten seite suchen:
[XXX-service] c:\windows\system32\XXX\svchost.exe wobei die
XXX einmal für den
windowsdienst und zum anderen für den
unterordner stehen. solltet ihr diesen gefunden haben, löscht ihr diesen eintrag.
bitte nur diesen eintrag löschen! merkt euch vorher, wie der
windowsdienst heißt. dann ruft ihr den
prozessviewer auf. der vorteil liegt darin, daß der
prozessviewer beim starten den genauen
pfad des
prozesses mit aufzeigt, was der
taskmanager leider nicht macht.
das tool stelle ich zum download unten am ende dieses postings bereit mit einer kleinen erläuterung!
habt ihr diesen gestartet, sucht ihr nach der korrupten
svchost.exe! da diese mehrmals von windows als prozess gestartet werden kann (bis zu 6x), achtet genau auf den pfad!
killt keinen prozess der
svchost.exe der
direkt im rootverzeichnis
c:win[nt]dows/system32 liegt. sonst lauft ihr gefahr, daß ihr euer system sofort und unbeabsichtigt runterfahrt. habt ihr den korrupten prozess gekillt, geht dann über
start/systemsteuerung/verwaltung/dienste zu den besagtem dienst und
beendet diesen! schaltet diesen auch gleich auf
deaktiviert, so ist sichergestellt, daß beim erneutem
restart sich der dienst nicht nochmal ausführt.
um sich vor diesem wurm zu schützen, ist es wichtig, sein system regelmäßig upzudaten! bitte spielt alle sicherheitspatches von microsoft auf. begebt euch am besten immer zum download dieser patches direkt zu homepage von microsoft.
prozessviewer: dies ist eine kleine zip-datei, die ich zur verfügung stelle, damit ihr zusätzlich zu den prozessen auch den genauen pfad des prozesses seht.
die zip-datei heißt
prcview.zip und kann von
hier heruntergeladen werden.
achtung: direktdownload! bitte mit der rechten maustaste ziel speichern unter... auswählen und an einem beliebigen ort eurer wahl abspeichern.
dieses kleine tool ist ressourcenschonend, da es nicht installiert werden brauch, sondern gleich aus der zip heraus gestartet werden kann! es gibt noch andere sehr gute prozessviewer, die ressourcenschonend sind. (z.b. sysinternals.com)
quellenangaben: von bekannten av-homepageseiten - denn alles aus dem hut kann ich leider nicht zaubern. ;D
------ EDIT ------
sollte ich dennoch was vergessen haben, dann ergänzt es einfach oder gibt mir bescheid, dann füge ich es hinzu oder berichtige.
