Der folgende Ordner: (%SYSDIR% ist der Windows System Directory)
%SYSDIR%DriversSVCHOST.EXE
Hohe Aktivität auf den Ports 135 (RPC), 80 (HTTP) und 445 (SMB über TCP).
Technische Beschreibung:
Der Wurm nutzt folgende Schwachstellen aus:
1. DCOM RPC Schwäche beschrieben in MS03-026 bulletin
2. WebDav Schwäche beschrieben in MS03-007 bulletin
3. Workstation Service Schwäche beschrieben in MS03-049 bulletin
Bei Infektion kopiert er sich in %SYSDIR%DriversSVCHOST.EXE und schafft den Service WksPatch, der bei jedem Neustart von Windows läuft.
Um andere Computer zu infizieren, generiert er zufällige IP Adressen und schickt Packets auf Ports 135, 80 und 445, um andere schwache Computer zu nutzen.
Er versucht den Mydoom Wurm und frühere Versionen von Welchia: Win32.Worm.Welchia.A zu entfernen und downloaded und fügt die Patches KB828035 und KB828749 von der Microsoft Website zu.
Der Wurm eliminiert sich selbst nach Juni 2004.
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung
an, wie z.B: Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal
Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der
Viren-Removaltools.
AntiVirus News
Besuchen Sie auch den tagesaktuellen Antivirus News Bereich