Virus? H@tKeysH@@k.DLL ?

Wunderkind · 16.08.2003, 19:43

Hey Leute erstmal nen fettes Hallo nach all den Wochen. Zur Info, ich bin wieder Single und hab deshalb mal wieder Zeit vorbeizuschaun.

So nun zu meinem eigentlichen Problem. Hab seit ein paar Tagen Win XP Homo :-) Hab eben im Win32 ordner eine H@tKeysH@@k.DLL gefunden. Frage, gehört die dahin und was macht die *.dll?

Ach nochwas hatte mir auch diesen scheiss Wurm eingefangen. Der ist aber wieder runter.

LG

16.08.2003, 20:58

hab grad in meinem windoof ordner auch die datei gefunden , würd auchgerne wissen , was diese datei soll??

H@tKeysH@@k.dll <-- klingt komisch ^^

Germican · 16.08.2003, 21:01

also der wurm ist es zu 100% nicht!!!

weil bei dem würdet ihr in

winnt/system32 eine exe finden die msblaster.exe heißt

[C.T.X]-ebr!s- · 16.08.2003, 22:59

lest euch das mal durch und macht mal einen virenscan, das wichtigste ist immer update zumachen beim virenscanner.

http://www.trendmicro.com/vinfo/viru...ROJ_HOTKEYHOOK

Germican · 17.08.2003, 03:04

hier ich1!!

hab auch noch was recht gutes gefunden zu dem thema danach weiß jeder bestens über schutz bescheid!!

Quote:
--------------------------------------------------------------------------------
Meldung vom 12.08.2003 09:30

Alle Schotten dicht -- W32.Blaster greift an
Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.

Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen.

Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden.

Zur Vorbeugung gegen den Wurm siehe auch:

Schutz vor RPC/DCOM-Wurm W32.Blaster

--------------------------------------------------------------------------------

hoffe das gelaber über den wurm nervt euch nicht aber ich dneke jeder sollte drüber bescheid wissen bevor es zuspät ist

16.08.2003, 19:43	- 1
Wunderkind Neuer Benutzer Registriert seit: 22.04.2003 Beiträge: 0 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	Hey Leute erstmal nen fettes Hallo nach all den Wochen. Zur Info, ich bin wieder Single und hab deshalb mal wieder Zeit vorbeizuschaun. So nun zu meinem eigentlichen Problem. Hab seit ein paar Tagen Win XP Homo :-) Hab eben im Win32 ordner eine H@tKeysH@@k.DLL gefunden. Frage, gehört die dahin und was macht die *.dll? Ach nochwas hatte mir auch diesen scheiss Wurm eingefangen. Der ist aber wieder runter. LG

16.08.2003, 20:58	- 2
nappy Gast Beiträge: n/a	hab grad in meinem windoof ordner auch die datei gefunden , würd auchgerne wissen , was diese datei soll?? H@tKeysH@@k.dll <-- klingt komisch ^^

16.08.2003, 21:01	- 3
Germican Neuer Benutzer Registriert seit: 23.04.2003 Beiträge: 0 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	also der wurm ist es zu 100% nicht!!! weil bei dem würdet ihr in winnt/system32 eine exe finden die msblaster.exe heißt

16.08.2003, 22:59	- 4
[C.T.X]-ebr!s- Neuer Benutzer Registriert seit: 16.07.2002 Beiträge: 0 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	lest euch das mal durch und macht mal einen virenscan, das wichtigste ist immer update zumachen beim virenscanner. http://www.trendmicro.com/vinfo/viru...ROJ_HOTKEYHOOK

17.08.2003, 03:04	- 5
Germican Neuer Benutzer Registriert seit: 23.04.2003 Beiträge: 0 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	hier ich1!! hab auch noch was recht gutes gefunden zu dem thema danach weiß jeder bestens über schutz bescheid!! Quote: -------------------------------------------------------------------------------- Meldung vom 12.08.2003 09:30 Alle Schotten dicht -- W32.Blaster greift an Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security. Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an. Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten. Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen. Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden. Zur Vorbeugung gegen den Wurm siehe auch: Schutz vor RPC/DCOM-Wurm W32.Blaster -------------------------------------------------------------------------------- hoffe das gelaber über den wurm nervt euch nicht aber ich dneke jeder sollte drüber bescheid wissen bevor es zuspät ist

Werbung
	--

Virus? H@tKeysH@@k.DLL ?

Wunderkind

Germican

[C.T.X]-ebr!s-

Germican