da ich mich, die letzten 2 Wochen etwas mit Internet Security befasst habe, bin ich gestern auf ein echt starkes Stück aufmerksam geworden.

Es geht um den W32.Welchia.Worm welcher seit mitte letzten Jahres bekannt ist. Es gibt ein Fix von Microsoft und sämtliche AntivirenTools kennen Ihn.

Betroffene Systeme sind: Microsoft IIS, Windows 2000, Windows XP

Nun der eigentliche Hammer: ich versichere Euch, das sehr viele von Euch den Worm auf den Rechner haben werden, und das auch wenn ihr Router, Firewall, Spybot, AdAware und Antivirus oder Worm/Trojan-Finder neuster Version auf dem Rechner habt.

Das Tool zum entfernen von Symantec findet Ihr bei Symantec.

Infos zu dem Worm bei Symantec: LINK (http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html)
Removal direkt bei Symantec: LINK (http://www.symantec.com/avcenter/FixWelch.exe)


Naja, das 99% zu hoch gegriffen sind ist im nachhinein klar geworden - aber nen scan schadet ja niemand.

erstmal selbst gucken, ob ich den auf platte hab. dann vielleicht sticky. :)

Das Forum da ist Reg-only.
Wieso sollte der zu 99%iger Wahrscheinlichkeit auf unseren Rechnern sein?

P.S.
hab ihn ganz gewiss nicht

hab den link gefixt - und nen downloadlink ist ja hier oben mit im post - und die 99% hat sich einfach gezeigt - nahezu jeder hat diesen worm - bissher ist mir nur 1er bekannt der ihn nicht hatte.

Also ich gehöre zu den 0,01% die ihn nicht haben.
Oder hebelt der wurm das tool aus?
Sollte man das im abges. modus starten?

ich lass laufen ma sehen
dann kommt nen edit

sehe ich das der Wurm auf mein PC war wenn ich das Tool laufen lass?

Chris

hab den link gefixt - und nen downloadlink ist ja hier oben mit im post - und die 99% hat sich einfach gezeigt - nahezu jeder hat diesen worm - bissher ist mir nur 1er bekannt der ihn nicht hatte.
Diese 99% für die Allgemeinheit scheinen mir übertrieben.Wo hast du denn die 99% beobachtet, im Bekanntenkreis?

Im übrigen ist der Wurm ist seit August 2003 bekannt und den DCOM Patch (Blaster ahoi) haben auch sicher Heute auch mehr Leute drauf als vor einem Jahr.

nein sollte man nicht - nur wenn er einen gefunden hatte nen restart und nochmal durchrennen lassen - das wars schon

letztlich ist das Teil ja auch net wirklich ne Monster Bedrohung wie z.b. der Blaster - fand es nur halt wirklich heftig das Trotz aller Maßnahmen um sowas zu vermeiden das Teil drauf war - komisch das ihn nichtmal der McAfee Stinger gefunden hatte :|

naja egal, will ja niemand angst machen oder so, aber lieber einmal mehr gescannt statt später in die Röhre gesehen, und letztlich tut der Scan ja nicht weh :) und rüttelt mal wieder die Leute wach die meinen das Internet wäre sicher etc. laber laber laber ....

Diese 99% für die Allgemeinheit scheinen mir übertrieben.Wo hast du denn die 99% beobachtet, im Bekanntenkreis?

Im übrigen ist der Wurm ist seit August 2003 bekannt und den DCOM Patch (Blaster ahoi) haben auch sicher Heute auch mehr Leute drauf als vor einem Jahr.

naja bin da in 2 Foren aktiv mit sagen wir mal auch nicht grad sehr wenigen Membern, und dort ließ es halt genau diesen anschein machen - gut - sicher mögen 99% jetzt sehr hoch gegriffen sein, aber mir gehts eigentlich nur darum, das der Wurm auf den Rechner sich rumtreiben kann, trotz neuster Antivir, Firewall, Spybot, AdAware, WurmStinger usw.

wie oben im Post geschrieben, nen Scan tut sicher keinen weh ;)

und das letzte update zu den Worm ist laut Symantec: Last Updated on: July 28, 2004 01:53:06 PM

hum hab ihn auch nich drauf. sygate firewall + router + antivir + xp/sp2 > welchia -_-

Hast mir echt Angst gemacht....hab das Tool durchlaufen lassen und es hat nix gefunden (achja, ich darf ja nun wieder die Systemwiederherstellung aktivieren).

Also hätte mich auch gewundert.
Windows ist erst seit kurzem wieder drauf und direkt mit SP2 + aktivierter FW + AV Personal Antivir.

habsch nüx drauf :naughty:
wir sind halt besser wie die andren foren :tongue:
Windows XP Professional, Service Pack 2 , (installed for) 11w 5d 4h 56m,

Ich habe ihn auch nicht drauf. ;(

Win2k + alle Patches + Antivir + Hardware-Router. :D

komisch das hier soviel dann letztlich das Ding doch nicht drauf haben - aber letztlich um so besser :)

puh, halbe stunde gescannt und nix. jetzt erstma men of valor zockn...

da ich mich, die letzten 2 Wochen stark mit Internet Security befasst habe

ich versichere Euch, das 99% von Euch den Worm auf den Rechner haben

Hi
Nach 2 Wochen Beschäftigung mit dem Thema maßt du dich an so etwas zu behaupten ? Beschäftige dich lieber noch mal 2 Wochen damit bevor du hier so pauschales Zeug von dir läßt. Mir klingt das ganze eher nach Werbung für diese komische falcon Seite oder evtl. Symantec, hast du mit einem von beiden was zu tun ?
Gruß

W32.Welchia.Worm has not been found on your computer.
Soviel zu den 99%.

WinXP SP1 + Patches + McAfee + Router :)

wie du im thread der "komischen" Falcon Seite sehen kannst, war da bissher nur 1er der den Wurm nicht hatte

und ja ich werde mich weiterhin mit Security beschäftigen, da ich ja noch nichtmal ansatzweise da in der Masse stecke, dennoch wollte ich es halt niemand vorenthalten.

ich halte nebenbei nix von symantec und habe kaspersky am laufen

erstmal selbst gucken, ob ich den auf platte hab. dann vielleicht sticky. :)

ich hab den nich
hab das symantec tool genommen

Hab ihn auch nicht. :|

Allerdings finde ich dei starke Verbreitung des Wurmes der den RPC-Bug auslöst viel erschreckender. Fast 1 Jahr nach der Herrausgabe der Patches ist der Wurm in Internet immer noch sehr aktiv.

Zumindest meldet mir mein Router ständing Versuche auf den Port zu connecten.

Ich habe 3 Rechner in meinen Heimnetzwerk gescannt!

Alle 3 haben zu 100 % nicht diesen Worm drauf, so viel dazu.

Alle Rechner haben Win Xp Sp2 und hängen am Router (NAT-Firewall) SMC Baricade G V2. Auf allen Rechnern ist AntiVir installiert.

Der Port 135 wird doch eh vom Router geschlossen, wie soll das dann mit dem Worm noch gehen?

Hab ihn nicht, welch ein Wunder. Auch wenn ich allgemein von Virenscannern aller Art nichts halte und mich nur auf mein Hirn verlasse, hab ich hier eine Ausnahme gemacht. Nichts gefunden. =(

vielleicht sollte mal ein mod diesen bildniveau-threadtitel ändern...

Bei mir auch nix gefunden :unono:

Was steht denn dran, wenn das Tools was gefunden und entfernt hat?

edit: Hat sich erledigt, nix Wurm, PC clean.

Ich hab den auch nicht drauf! ;(

NIS und Router-Firewall bewachen meinen PC ;)

Bei mir ist auch nichts zu sehen von dem Ding.Man muss halt nur sein System in ordnung halten, und ich hab weder Router noch Firewall.

Nennt mir mal einer einen grund warum ein aktuelle Virenscanner das ding nicht finden sollte?

Hab ihn auch nicht.
1) Halte ich mein KAV absolut up to date
2) Lasse ich den Rechner in jeder Nacht von Sonntag auf Monatag den Rechner komplett scannen.

Ich habe Bitdefender Professional Plus 8 + Router Firewall - kein Wurm in Sicht. :|

Hab das Tool mal auf 108 Rechner per Softwareverteilung angestossen und bin mal gespannt.

das Problem wurde lokalisiert ist ist eigentlich auch kaum zu glauben:

der wurm wurde durch den ISP auf die Server verteilt auf denen sich die anderen Foren befinden in den ich sonst noch unterwegs bin - von den servern widerum auf die user, und das mit den sehr hohen erfolg der infizierung.

das hier keiner betroffen ist, ist letztlich so zu erklären das der 3dcenter server bei einen anderen isp gehostet wird.

Verteiler sind win2k server mit IIS 5 - was mich letztlich schon wieder ein wenig verwundert, ich mein, wer hostet schon webs auf einen windows server mit IIS?

Aber: sehr viele User wurde betroffen und das trotz Firewall, Antivir etc.

letztlich nur die, die den Port 135 geblockt hatten wurden verschont - soweit so gut

- wollte nur das ganze aufklären, nicht das ihr mich für nen spinner etc. haltet

gut hab nen bissl voreilig panik gemacht, aber naja lieber so als anders herum - oder?

nun wär es halt super wenn nen mod noch den thread-titel ein wenig entschärfen könnte ;)

ISP wird nicht genannt - wisst schon wiso ;)

Bin zwar gerade am Testen ob ich den Wurm habe, aber sinnlos finde ich den Thread nicht, kann ja nicht schaden wenn man es dennoch durchcheckt.

nur am rande: hab ihn auch nicht.

Auch bei mir war nichts zu finden :rolleyes:

errinnere mich ihn mal gehabt zu haben und norton bzw antiVir hatten beide so ihre problemchen mit dem und konnten ihn nicht ganz vom sys entfernen, warum auch immer. hatte ihn dan damals mauell entfernt.

aktueller scan mit symantec-tool: kein wurm in sicht! :D

mmm...

:( Copies itself to: %System%\Wins\Dllhost.exe
NOTE: %System% is a variable. The worm locates the System folder and copies itself to that location. By default, this is C:\Winnt\System32 (Windows 2000) or C:\Windows\System32 (Windows XP). :(


Hab im Wins- Ordner keine DLLHOST.EXE gefunden, nur im System32 und da darf sie sein, weil es dann ein Original von Windoof ist :uup: ...

Der Grund, warum hier solche Würmer keinen hohen Verbreitungsgrad haben, dürfte sein, weil hier die User entweder Router oder wenigstens eine PFw einsetzen und dadurch die Ports nicht mehr "offen" sind ...

Hab ihn ebenfalls nicht, zwei Systeme (je 1x 2000 und XP Pro) hinter einem Eumex Router, beide mit NAV 2004.

Hab ihn auf der Arbeit auch nicht! :wink:

Und zu Hause sowiesonicht :biggrin:
Ich haaaabe gar keine Internet zu Hause

Aber DSL 3000 am Arbeitsplatz(mit Brenner) :biggrin: :wave2:

Hab ihn auch nicht....obwohl mein I-Net Rechner nur ein Win2k mit SP2 ist....

Hängt allerdings auch hinter einer NAT-Firewall...

Aber ich muss dem Theadstarter rechtgeben...lieber einmal zuviel als zuwenig "gescant"...

Hat jemand von euch überhaupt schon gelesen, welchen "Schaden" dieser Wurm anrichtet? ;)

W32.Welchia.Worm does the following:

Attempts to download the DCOM RPC patch from Microsoft's Windows Update Web site, install it, and then restart the computer
Checks for active machines to infect by sending an ICMP echo request, or PING, which will result in increased ICMP traffic
Attempts to remove W32.Blaster.Worm
... Im Prinzip tut er gar nichts, außer den Rechner upzudaten und Blaster zu entfernen. :tongue:

Im Prinzip keine schlechte Idee: Jemand der Blaster anfällig ist, kann auch von diesem Wurm infiziert werden. Alle anderen im Regelfall nicht.

Solche Aussagen passen zu Deinem Avatar.

Vielleicht meinte er ja "W32.Welchia.Worm zu 99% NICHT auf euren Rechnern! ;)

hab ihn auch nich... aber wer sucht sich schon einen hoster der windoof einsetzt?

Befund: negativ :)

Ich will ja niemandem zu nahe treten aber das ist der polemischste und unfundierteste Thread seit langem. "99% haben den Wurm" - Das ist Bildzeitungs-Niveau. Ich weiß ja nicht was deine "seriösen Quellen" für Spacken sind aber in diesem Forum wird der Wert kaum die 12-15%-Marke übersteigen.

Ich wäre dafür dass ein Mod mal den Titel ändert - das grenzt schon fast an Panikmache.

Hab ihn auch nicht, aber besser einmal zuviel gescannt, als einmal zuwenig! :smile:

also auch ein "guter" Wurm, na schade, dass ich ihn nicht hab ;)