THEMEN

AntiVirus

Win32.Worm.Bobax.A/C - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 Bobax.A  Win32.Worm.Bobax.A/C  Ausführender Wurm
Schaden Entdeckt Ermittelt
 Niedrig  16.05.2004  16.05.2004
Größe Verbreitung Noch unterwegs
 20480/22528 Byte  Hoch  Ja
Andere Namen
 Win32.HLLW.Mixer.A/C
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :
- Registry Einträge mit 8 hex Buchstaben in HKLM\Software\Microsoft\ Windows\CurrentVersion\Run und RunServices
Technische Beschreibung:

Version A (nutzt die LSASS Schwäche aus- siehe Microsoft Security Bulletin MS04-011):
Wenn der Virus läuft, entschlüsselt die EXE sich selbst, legt die eingebettete DLL im temporären Ordner mit Namen, die mit einem a '~' starten ab, und versucht die DLL einzuschleusen und laufen zu lassen.
Alle Dateien im temporären Ordner, die einen Namen haben, der mit '~' beginnt, werden gelöscht (inklusive der abgelegten DLL); die EXE wird kopiert in den Windows System Ordner.
Der Virus wartet auf eine Verbindung zum Internet, er versucht Zugang zum Script zu erhalten bei folgenden Hosts:
- http://chilly[X].no-ip.infob
- http://kwill[X].hopto.org
- http://cheese[X].dns4biz.org
- http://butter[X].dns4biz.org
- http://[5 bis 12 zufällige Buchstaben].dns4biz.org
Eine EXE wird runtergeladen von einer spezifischen URL und abgelegt; der Wurm beendet seine Ausführung.
- "exe": Eine EXE wird runtergeladen von einer spezifischen URL; der Wurm beendet seine Ausführung nicht;
- "scn": Infiziert andere Computer. Der Wurm schafft einen HTTP Server an einem willkürlichen Port zwischen 2000 und 61999; jedem Clienten, der sich verbindet, wird eine Kopie des Wurmes zum Runterladen gegeben.
Die IP's, die infiziert werden sollen, werden von der lokalen IP erschaffen, indem die ersten 1 or 2 Bytes behalten werden und zufällige Werte für die letzten Bytes geschaffen werden; Der Wurm versucht zuerst eine Verbindung zum TCP Port 5000 des anvisierten IP zu erreichen; dann sendet es die erbeuteten SMB packets zum LSASS Service auf TCP Port 445. Der ausspionierte Code wird runtergeladen in eine Kopie des Wurms vom HTTP Server als "svc.exe" und läuft.
- "spd": berichtet die folgende Info in einem "speed" Script, das auf einer speziellen website läuft: hdd id, Internet connection speed , RAM Größe, gesamter freier Speicher auf festen Platten, System Version, CPU typ & speed, IP, screen resolution.
Version C ist ähnlich der Version A, aber neben der LSASS Schwäche versucht er auch andere Computer zu infizieren, indem er die DCOM RPC Schwäche ausnutzt (siehe Microsoft Security Bulletin MS03-039) (packets werden an TCP Port 135 gesendet).
Er öffnet eine der folgenden URL's:
- g.msn.com/7MEEN_US/EN/SETUPDL.EXE;
- ftp.newaol.com/aim/win95/Install_AIM.exe;
- download.microsoft.com/download/f/a/a/faa796aa-399d- 437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE;
- download.microsoft.com/download/6/1/5/615a50e9-a508- 4d67-b53c-3a43455761bf/WindowsXP-KB835732 -x86-ENU.EXE;
- download.yahoo.com/dl/mac/ ymsgr_2.5.3-ppc_install.bin.
Er versucht auch die folgende URL zu öffnen, neben den für A aufgelisteten :
- http://[5 to 12 random letters].no-ip.info.

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Worm.Bobax.A/C Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.