Hallo,
habe heute mal wieder Antivir durchlaufen lassen, dabei hat er 1 Wurm entdeckt. War erstaunt, da ich eigentlich sehr sicher surfe, Firefox mit sämtlichen Security relevanten plugins betreibe.
Naja wenigstens war es nur 1 wurm, welcher problemlos gelöscht werden konnte. Autostartliste etc ist frei von schädlichen einträgen.

hier der report von antivir:


C:\WINDOWS\system32\ylvsby.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Rbot.2466304
[INFO] Die Datei wurde gelöscht.


Weiß jemand was dieser wurm genau gemacht hat bzw. ob er überhaupt aktiv war? über die spezielle bezeichnung kann ich bei google nichts finden.

ich würde den rechner neu aufsetzen, da die BOT-dinger backdoor-programme sind und wahrscheinlich schon anderes spy-/spamzeug auf deinen rechner geladen haben
€: info: http://www.sophos.de/virusinfo/analyses/w32rbotgz.html

Naja ich denke das ist übertrieben,
wiegesagt der Wurm war ja nie in der Autostartliste oder in Registry-Einträgen vorhanden.
Es war nur diese Datei in der System32.. Und ich kann mir auch schon denken wo sie herkommt; wenn ich das schon lese "bevorzugt netzwerkfreigaben".. klar wieder mal von der letzten LAN-Party von jemanden was eingefangen.

wenn du aber gerade mit eben diesem rechner am netz hängst, haste doch ein problem ;)

Wie Drill Sarge schon versucht zu erklären, sind die Teile meist Türöffner.

Man fängt sie sich ein, dann gehen sie her und öffnen die verschlossenen Türen des Rechnern von innen. (bildlich erklärt)
Edit: Also ein infiziertes System hat damit eine erhöhte Chance, wieder infiziert zu werden.

Und nur weil dein Virenprogramm nichts mehr findet, heißt das nicht, dass der Computer sauber ist. Leider, wäre zu schön, wenn es so einfach wäre. ;(

Hallo,
habe heute mal wieder Antivir durchlaufen lassen, dabei hat er 1 Wurm entdeckt. War erstaunt, da ich eigentlich sehr sicher surfe, Firefox mit sämtlichen Security relevanten plugins betreibe.
gegen dummheit helfen keine plugins.

gegen dummheit helfen keine plugins.
Gegen solche Gast Postings leider auch nicht :/


@seiLaut
Hmm ja, aber der Autor dieses Schädlings muss sich ja erst einmal auf meinen infizierten PC einloggen. Nun bin ich wohl nicht der einzige mit diesem Wurm, der Zugang zum Internet hat. Der Hacker muss also erst einmal meine IP durch seinen Wurm mitgeteilt bekommen und könnte sich dann an meinem PC zu schaffen machen (wenn er sich gerade meine IP herausgesucht hat). Nun hängt mein PC aber hinter einem Router, welcher nochmal zusätzlichen Schutz bietet. Meines Wissens ist es damit nicht so einfach, Zugriff von außen auf meinen PC zu bekommen. Ich habe ja z.B. den zu benutzenden Port (ist glaub ich bei dem Wurm irgendwas zwischen 12000 und 19000) ja gar nicht auf meine interne IP weitergeleitet.
Naja klar ich weiß dass es immer Schwachstellen und Wege gibt, aber erst einmal muss ja die Motivation und ein Interesse da sein.

@seiLaut
Hmm ja, aber der Autor dieses Schädlings muss sich ja erst einmal auf meinen infizierten PC einloggen. Nun bin ich wohl nicht der einzige mit diesem Wurm, der Zugang zum Internet hat. Der Hacker muss also erst einmal meine IP durch seinen Wurm mitgeteilt bekommen und könnte sich dann an meinem PC zu schaffen machen (wenn er sich gerade meine IP herausgesucht hat). Nun hängt mein PC aber hinter einem Router, welcher nochmal zusätzlichen Schutz bietet. Meines Wissens ist es damit nicht so einfach, Zugriff von außen auf meinen PC zu bekommen. Ich habe ja z.B. den zu benutzenden Port (ist glaub ich bei dem Wurm irgendwas zwischen 12000 und 19000) ja gar nicht auf meine interne IP weitergeleitet.
Naja klar ich weiß dass es immer Schwachstellen und Wege gibt, aber erst einmal muss ja die Motivation und ein Interesse da sein.
der sinn solcher würmer ist es ja den "nachladeprozess" zu automatisieren und somit erledigt der wurm alles selbstständig. man ist also nicht auf die aufmerksamkeit irgendwelcher leute "angewiesen"

Hmm was meinst du mit "Nachladeprozess"?
Die selbstständige Weiterverbreitung des Wurms?
Wäre nett wenn du mir das näher erläutern könntest.

Hmm was meinst du mit "Nachladeprozess"?
Die selbstständige Weiterverbreitung des Wurms?
Wäre nett wenn du mir das näher erläutern könntest.
sobald du den wurm aufm rechner hast, lädt der aus dem netz (irgendein server etc.) andere spyware/viren/trojaner etc. nach, welche sich dann installiert und ggf. selbst noch was nachlädt. das kann zB dazu führen, dass zB dein rechner in ein spamnetzwerk eingebunden wird und du somit spam-mails unbemerkt versendest.
der wurm kann sich natürlich auch über diesen weg selbst weiter verschicken und das gleiche auf anderen rechnern machen und so weiter und so fort.

Naja klar ich weiß dass es immer Schwachstellen und Wege gibt, aber erst einmal muss ja die Motivation und ein Interesse da sein.
Ruhm und Ehre. (ja, das gibt es)

Es geht dabei nicht um deinen Computer allein, sondern darum, möglichst viele zu infizieren. Das ist eine Motivation.

DrillSarge hat ja schon eine andere genannt. Und da ich mich in der Szene überhaupt nicht auskenne, gibts da sicher noch mehr.

Hmm okay,
aber es muss doch jetzt möglich sein zu kontrollieren, was der Wurm angerichtet hat und das System danach zu durchforsten.
Ich habe schon mehrere Antiviren-Programme durchlaufen lassen, die haben nichts weiter gefunden.
Die Prozesse sind alle sauber und die Registry (soweit die Programme das beurteilen können) auch.
Deswegen trotzdem formatieren? Dann hat der Hack ja erreicht was er wollte, nur wieder noch mehr Arbeit.
Echt schlimm sowas...Können die nicht ihre vermeindliche Genialität für "gute" Zwecke einsetzen und die Menschheit weiterbringen... Anscheinend nicht- Liegt wohl in der Natur des Menschen.

der sinn dahinter ist ja, alles zu verstecken, dass man denkt alles sei normal

Hallo,
habe heute mal wieder Antivir durchlaufen lassen, dabei hat er 1 Wurm entdeckt. War erstaunt, da ich eigentlich sehr sicher surfe, Firefox mit sämtlichen Security relevanten plugins betreibe.
Naja wenigstens war es nur 1 wurm, welcher problemlos gelöscht werden konnte. Autostartliste etc ist frei von schädlichen einträgen.

hier der report von antivir:



Weiß jemand was dieser wurm genau gemacht hat bzw. ob er überhaupt aktiv war? über die spezielle bezeichnung kann ich bei google nichts finden.mmm...

1.) Virenscanner lässt man immer im Hintergrund laufen, damit sie beim Eintreffen eines Virus aktiv werden können, nicht, damit man später erfährt, dass man sich jetzt offiziell als Spamschleuder bezeichnen kann.
2.) Es ist nicht nur 1 Wurm, sondern einer einer ganzen Generation von Würmern, die über die nettesten Fähigkeiten verfügen, die ein Wurm haben kann. Die Informationen scheinen alle aus dem Jahr 2004 zu stammen, dieser Wurm gehört aber zu den Dingern, zu den alle paar Wochen eine neue Version auftaucht.
http://de.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?VName=WORM_RBOT.TX
Man beachte beim Link von Trendmicro die Aliasnamen der verschiedenen Virenscanner.
Die Suche nach dem Namen RBOT bei Sophos verweist auf 148 Seiten ...
http://www.sophos.de/search/search-results/?search=rbot&page=1&advanced=


Welche Version du da jetzt genau erwischt hast, keine Ahnung.
Eine Neuinstallation ist bei dem Teil aufjedenfall das mindeste, alleine schon, weil er im System32- Verzeichnis war und damit die Infektion erfolgreich.

Ich hatte die Guards von Antivir sowie AVG ja die ganze Zeit im Hintergrund laufen...

Sag jetzt aber nicht, du hast die beiden gleichzeitig laufen lassen :confused: ??
Das sollte man nämlich nicht tun, da sich diese gegenseitig stören und Schädlinge nicht bemerken...
Formatier dein Rechner und gut is, dann kannste dir auch sicher sein, dass du nix mehr drauf hast.

MfG

Nein, ich meinte ich hatte den AVG Also den Antivir Guard immer an.
Das AVG Anti-Spyware Programm (das ist ja vom hersteller AVG) habe ich aber auch installiert. Den Guard allerdings deaktiviert.

Vll werde ich auf Vista umsteigen, das ist ja ein wenig sicherer als XP.

Denn formatiere ich jetzt und spiele wieder XP auf, ist es wohl nur eine Frage der Zeit bis ich wieder so einen Schädling auf dem Rechner habe. Mehr als Antivir und Firefox mit noScript und PopUp Blocker laufen zu lassen kann ich auch nicht tun. Auf unseriöse Webseiten gehe ich sowieso nicht.

Nein, ich meinte ich hatte den AVG Also den Antivir Guard immer an.
Das AVG Anti-Spyware Programm (das ist ja vom hersteller AVG) habe ich aber auch installiert. Den Guard allerdings deaktiviert.

Vll werde ich auf Vista umsteigen, das ist ja ein wenig sicherer als XP.

Denn formatiere ich jetzt und spiele wieder XP auf, ist es wohl nur eine Frage der Zeit bis ich wieder so einen Schädling auf dem Rechner habe. Mehr als Antivir und Firefox mit noScript und PopUp Blocker laufen zu lassen kann ich auch nicht tun. Auf unseriöse Webseiten gehe ich sowieso nicht.mmm...

Ich hab keine Ahnung, was du da laufen lässt.
Der Hersteller von AVG ist Grisoft, was ein eigener Virenscanner ist.

Vista wird dich auch nur soweit beschützen können, solange du nicht wieder auf einer Lan bist und alle aktuellen Updates drauf hast. Bei einer Lan muss man leider davon ausgehen, dass es min. 1 Person gibt, die nen Virus mitbringt. Sobald es nen Patch für eine sicherheitskritische Lücke gibt, gibt es ein paar Tage/ Stunden später auch nen Wurm, der die Lücke ausnutzt.
Gleichzeitig besteht das Problem, dass ein neuer Wurm erstmal nicht von den Virenscannern erkannt wird.

Denn formatiere ich jetzt und spiele wieder XP auf, ist es wohl nur eine Frage der Zeit bis ich wieder so einen Schädling auf dem Rechner habe. Mehr als Antivir und Firefox mit noScript und PopUp Blocker laufen zu lassen kann ich auch nicht tun. Auf unseriöse Webseiten gehe ich sowieso nicht.
Noch 'n Tipp: Nicht mit Admin-Account arbeiten/surfen (dafür ist er nicht da) sondern nur mit 'normalen' Benutzerrechten. So hättest Du Dir auch den Wurm nicht eingfangen.

Wenn Du genaueres über den Wurm wissen willst, schicke ihn mir per PN (RapidShare/passwortverschlüsselt).