Hi,
ich kann nicht absolut sicher sagen, das damit der Muell weg ist, aber
bei einem Kumpel verhaelt sich der Rechner dannach ruhig.
Hier eine kleine Anleitung zum entfernen:
Erkenntnisse:
Es wird z.Z. scheinbar nur der Wurm verbreitet. Eine Schadensroutine
wird z.Z. scheinbar (!!!) nicht aufgerufen. Durch die Nutzung von tftp
laesst sich aber sicher zu einer bestimmten Zeit ein entsprechendes
Zusatzfile aus dem I-Net ziehen.
Befallenen Rechner (scheinbar) saeubern:
- Netzkabel ziehen
- IIS anhalten (net stop w3svc)
- im Task-Manager eine rundll32.exe, die gegen 100% CPU Zeit belegt
killen
- auf c:\, d:\ und e:\ die admin.dll loeschen
- im Webserver Dokument Root das File readme.elm loeschen
- eventuell liegen noch irgendwo root.exe Files rum. Die gehoeren auch
irgendwie dazu, habe ich aber nicht auf dem Rechner gefunden, steht
aber im Code drin.
- im CGI/SCRIPTS Directory des IIS alle "tftp<pid>" Files loeschen
- Im User manager den Guest User aus der Admin-gruppe entfernen
- die c$, d$, e$ Freigaben entfernen (!!! existieren auch als Default
System Freigaben) oder die Rechte anpassen
IIS Unicode Patch
(http://www.microsoft.com/technet/security/bulletin/ms00-078.asp) oder
SP2 (W2k) einspielen!!! Eventuell die tftp.exe entfernen oder
umbenennen.
Nach einem Neustart des Rechners, war es ruhig. Habe keine Stelle
gefunden, wo sich das Teil fuer einen Neustart eingetragen haette.
----
Es werden scheinbar komplette /8-Subnetze Brut-Force gescannt. Nach
entfernen des Netzkabels von dem Rechner hat er das letzte verfuegbare
Subnetz 127.0.0.0 komplett durchgescannt. Der erste Zugriff war von der
xxx.xxx.xxx.xxx um ca. 13.45. Die Verbreitung ueber verschiedene Netze
scheint durch Mail zu erfolgen.
Der Wurm startet sich sofort selbst, wenn man in Outlook (hier Outlook
2000) im Preview fenster auf die Mail klickt, ohne sie zu oeffnen:
--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="
--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
....
Es wird der Media Player und manchmal ein Save-As Dialog aufgerufen.
Die Mail sollte also von niemandem so angeklickt werden. Am besten sich
selbst ueber einen Webmailer eine neue Mail schicken und dann drei Mail
mit einmal markieren (vorherige Mail anklicken, Shift, Mail nach
Virusmail anklicken) und mit Shift-Del komplett loeschen.
Beim Lesen mit Netscape ueber POP3 traten keine
Probleme auf (hier !!!), ist aber auch unsicher (obwohl IFRAME nicht
unterstuetzt).
Bisher kam der Wurm nur mit Mails, die im Subjekt das Wort
"desktop" enthalten. Eventuell eine Rule anlegen und alle diese Mails
in
einen anderen Folder verschieben (ohne zu oeffnen) oder loeschen lassen
(!!! Datenverlust moeglich).
Viel Erfolg
Erklaerung:
Die Anwendung dieser Anleitung erfolgt auf eigene Gefahr. Ich
uebernehme keine Garantie fuer den Erfolg. Weiterhin lehne ich
jegliche, durch die Anwendung dieser Anleidung entstehenden Schaeden,
Probleme, Ausfaelle oder andere Forderungen ab.
Wer sich nicht auskennt oder nicht traut, sollte lieber auf einen Patch
oder Virenscanner von einer Firma warten und diesen einsetzen.
ich kann nicht absolut sicher sagen, das damit der Muell weg ist, aber
bei einem Kumpel verhaelt sich der Rechner dannach ruhig.
Hier eine kleine Anleitung zum entfernen:
Erkenntnisse:
Es wird z.Z. scheinbar nur der Wurm verbreitet. Eine Schadensroutine
wird z.Z. scheinbar (!!!) nicht aufgerufen. Durch die Nutzung von tftp
laesst sich aber sicher zu einer bestimmten Zeit ein entsprechendes
Zusatzfile aus dem I-Net ziehen.
Befallenen Rechner (scheinbar) saeubern:
- Netzkabel ziehen
- IIS anhalten (net stop w3svc)
- im Task-Manager eine rundll32.exe, die gegen 100% CPU Zeit belegt
killen
- auf c:\, d:\ und e:\ die admin.dll loeschen
- im Webserver Dokument Root das File readme.elm loeschen
- eventuell liegen noch irgendwo root.exe Files rum. Die gehoeren auch
irgendwie dazu, habe ich aber nicht auf dem Rechner gefunden, steht
aber im Code drin.
- im CGI/SCRIPTS Directory des IIS alle "tftp<pid>" Files loeschen
- Im User manager den Guest User aus der Admin-gruppe entfernen
- die c$, d$, e$ Freigaben entfernen (!!! existieren auch als Default
System Freigaben) oder die Rechte anpassen
IIS Unicode Patch
(http://www.microsoft.com/technet/security/bulletin/ms00-078.asp) oder
SP2 (W2k) einspielen!!! Eventuell die tftp.exe entfernen oder
umbenennen.
Nach einem Neustart des Rechners, war es ruhig. Habe keine Stelle
gefunden, wo sich das Teil fuer einen Neustart eingetragen haette.
----
Es werden scheinbar komplette /8-Subnetze Brut-Force gescannt. Nach
entfernen des Netzkabels von dem Rechner hat er das letzte verfuegbare
Subnetz 127.0.0.0 komplett durchgescannt. Der erste Zugriff war von der
xxx.xxx.xxx.xxx um ca. 13.45. Die Verbreitung ueber verschiedene Netze
scheint durch Mail zu erfolgen.
Der Wurm startet sich sofort selbst, wenn man in Outlook (hier Outlook
2000) im Preview fenster auf die Mail klickt, ohne sie zu oeffnen:
--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="
--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
....
Es wird der Media Player und manchmal ein Save-As Dialog aufgerufen.
Die Mail sollte also von niemandem so angeklickt werden. Am besten sich
selbst ueber einen Webmailer eine neue Mail schicken und dann drei Mail
mit einmal markieren (vorherige Mail anklicken, Shift, Mail nach
Virusmail anklicken) und mit Shift-Del komplett loeschen.
Beim Lesen mit Netscape ueber POP3 traten keine
Probleme auf (hier !!!), ist aber auch unsicher (obwohl IFRAME nicht
unterstuetzt).
Bisher kam der Wurm nur mit Mails, die im Subjekt das Wort
"desktop" enthalten. Eventuell eine Rule anlegen und alle diese Mails
in
einen anderen Folder verschieben (ohne zu oeffnen) oder loeschen lassen
(!!! Datenverlust moeglich).
Viel Erfolg
Erklaerung:
Die Anwendung dieser Anleitung erfolgt auf eigene Gefahr. Ich
uebernehme keine Garantie fuer den Erfolg. Weiterhin lehne ich
jegliche, durch die Anwendung dieser Anleidung entstehenden Schaeden,
Probleme, Ausfaelle oder andere Forderungen ab.
Wer sich nicht auskennt oder nicht traut, sollte lieber auf einen Patch
oder Virenscanner von einer Firma warten und diesen einsetzen.