Hier scheinen viele zu denken "Oh, da kam gerade dieses
Reboot-Fenster, da hab ich wohl den Wurm :(".
FALSCH
Der Wurm verbreitet sich über eine Sicherheitslücke im Windows
RPC-Dienst (das ist der mit dem Port 135...)
Um diese Sicherheitslücke ausnutzen zu können, muss der Wurm wissen,
was für ein System das ist. Also ob es Windows 2000 oder XP, deutsche
Version oder Englische, etc.
Da der Wurm das nicht weiss muss er raten.
Wenn er falsch rät, stürzt der RPC-Dienst auf dem Zielrechner ab, und
es erscheint das besagte Reboot-Fenster. Da der Virus *FALSCH*
geraten hat, ist der Rechner auch nicht infiziert.
Wenn er jedoch richtig rät, merkt der User erstmal garnichts.
Allerdings ist der Rechner dann infiziert. Zu erkennen ist dies an
dem Registry-Eintrag
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\windows update"
(ohne Gewähr :)
Abhilfe:
a) Von windowsupdate.microsoft.com den Patch für die RPC-Lücke holen.
Danach sollte der Rechner nicht mehr neu starten, und kann auch nicht
mehr neu infiziert werden. Wenn im Laufe des Update das
"Reboot-Fenster" kommt, einfach Start\Ausführen, "shutdown -a" und
Enter drücken.
b) Um danach den Wurm zu entfernen, einfach auf den netten Banner
rechts klicken...
Moritz
der gerade Langeweile hat...
Reboot-Fenster, da hab ich wohl den Wurm :(".
FALSCH
Der Wurm verbreitet sich über eine Sicherheitslücke im Windows
RPC-Dienst (das ist der mit dem Port 135...)
Um diese Sicherheitslücke ausnutzen zu können, muss der Wurm wissen,
was für ein System das ist. Also ob es Windows 2000 oder XP, deutsche
Version oder Englische, etc.
Da der Wurm das nicht weiss muss er raten.
Wenn er falsch rät, stürzt der RPC-Dienst auf dem Zielrechner ab, und
es erscheint das besagte Reboot-Fenster. Da der Virus *FALSCH*
geraten hat, ist der Rechner auch nicht infiziert.
Wenn er jedoch richtig rät, merkt der User erstmal garnichts.
Allerdings ist der Rechner dann infiziert. Zu erkennen ist dies an
dem Registry-Eintrag
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\windows update"
(ohne Gewähr :)
Abhilfe:
a) Von windowsupdate.microsoft.com den Patch für die RPC-Lücke holen.
Danach sollte der Rechner nicht mehr neu starten, und kann auch nicht
mehr neu infiziert werden. Wenn im Laufe des Update das
"Reboot-Fenster" kommt, einfach Start\Ausführen, "shutdown -a" und
Enter drücken.
b) Um danach den Wurm zu entfernen, einfach auf den netten Banner
rechts klicken...
Moritz
der gerade Langeweile hat...