Home AntiVirus Spyware Tutorials Testberichte FREE Downloads Kaspersky
Das Virenschutz und Security Informationsportal mit Thematiken rund um AntiVirus, Virenscanner und Firewall. Startseite
THEMEN
gratis Download Tipp
FREE Downloads
AntiVirus Produkte
Antivirus Lexikon
Viren Definitionen
Spyware Signaturen
Viren Info für Webseiten
Spy Info für Webseiten
Virenschutz-Tutorials
Virenschutz-Forum
Testberichte
AntiVirus-News
Techniklexikon
weitere Themen

AntiVirus

Win32.Worm.Welchia.A - Virensignatur bei Virenschutz.info

A | B | C | D | E | F | G | H | I | J | K | L | M |
N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Viren-Lexikon
Bezeichnung Name Typ
 Welchia.A  Win32.Worm.Welchia.A  Ausführender Wurm
Schaden Entdeckt Ermittelt
 Niedrig  18.08.2003  18.08.2003
Größe Verbreitung Noch unterwegs
 10240 (gepackt mit upx und gepatcht)  Hoch  Ja
Andere Namen
 W32.Welchia.Worm, W32/Nachi.worm, WORM_MSBLAST.D
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     


Symptome :
Präsenz des dllhost.exe und svchost.exe Ordners im %System32%wins Directory (z.B..
C:WindowsSystem32WinsDllHost.exe).
Präsenz von zwei Services: Network Connections Sharing mit
Pfad zur: %System32%winssvchost.exe und WINS Client mit
Pfad zur: %System32%winsdllhost.exe.
Technische Beschreibung:

Für Windows XP Systeme nutzt er die Windows DCOM RPC Schwäche aus, beschrieben in MS03-026 security bulletin.
Für Systeme, die den IIS Service haben, nutzt er die Windows WebDav Schwäche aus, beschrieben in MS03-007 security bulletin.
Wenn er läuft, sucht er nach dem Win32.Msblast.A Wurm Ordner (msblast.exe) und versucht ihn vom Computer zu entfernen. Er versucht das Patch für die DCOM RPC Schwäche downzuloaden und zu installieren. Bei Erfolg startet er unbemerkt den Computer neu.
Nachdem er einen Remote Computer infiziert hat, it öffnet er einen zufälligen TCP Port zwischen 666 und 765 auf dem Remote Computer, um Befehle an ihn zu senden.
Er benutzt das TFTP Ordner Transfer Protokoll, um den Wurm Body zu kopieren: dllhost.exe, und den TFTP Server: tftpd.exe, der umbenannt wird in svchost.exe, nachdem er sich in %System32%wins kopiert hat.
Er schafft zwei Services: Network Connections Sharing mit dem Pfad zu: %System32%winssvchost.exe und WINS Client mit dem Pfad zu: %System32%winsdllhost.exe, die automatisch laufen, so dass der Wurm auch aktiv ist, wenn der User nicht in den Computer eingeloggt ist

[ Zurück zum Anfang ]

 >> AntiVirus Lexikon
  ANTIVIRUS LEXIKON
  INFORMATIONEN


Virenschutz Tutorials
Goldene Regeln
  WEITERE DIENSTE
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.
  PRODUKT INFO
  avast!4 PDA
  kaspersky gratis
  PCtools Spyware Doctor

 
Kurznavigation der Themen bei Virenschutz.info
 
AntiVirus News
Besuchen Sie auch den tagesaktuellen News Bereich
AntiVirus News
Viren Lexikon
Mit einer Vielzahl an Virensignaturen erwartet Sie hier das :
AntiVirus Lexikon 		Spyware Lexikon
Ebenso, wie unser Virenlexikon haben wir auch ein eigenes :
Spyware Lexikon 		Tutorials Bereiche
Von Virenschutz über Firewall bis Wlan erleutert in den Tutorials
Virenschutz Tutorials 		Virenscanner Übersicht
Produktempfehlungen von Security Software in der Übersicht
Übersicht Virenscanner
 
Kontakt
Impressum
 antivirus | virenscanner | spyware | anonym-surfen | antivirensoftware | wlan  
 Quicklinks: