23.06.2005 15:49 |

Virus-Alarm

Neuer Virus kann PC "fernsteuern"

Neuer Wurm kann auf infiziertem Rechner beliebige Dateien starten, laden, entfernen und den Rechner quasi fernsteuern.

Der russische Experte für die IT-Sicherheit Kaspersky warnt vor einer neuen Migration des Mytob-Wurms. "Win32.Mytob.U" verbreitet sich über eine Sicherheitslücke im lokalen Sicherheitsdienst Microsoft Windows "LSASS". Seine Funktionen sind praktisch identisch mit der Wurmvariante "Mytob.A".

"Mytob.U" ist etwa 45 KB groß und ist mit "UPack" gepackt (233 KB). Anstelle der Datei "%System%"\msnmsgr.exe" erstellt der Wurm die Datei "%System%\rnathchk.exe. Der Wurm erstellt außerdem folgende Dateien im Wurzel-Directory der Festplatte: "my_picture.scr", "pic.scr" und "see_this!.pif". Alle diese Files sind Kopien des Wurms. Anschließend registriert er sich in den Schlüsseln für den Autostart des System-Registers, um sich bei jedem System-Start selbst zu aktivieren. Weiters erstellt "Mytob.U" den einzigartigen Identifikator "I_FUCK_DEAD_PPL" zur Bestimmung seiner Anwesenheit im System.

Zusätzlich öffnet der Schadcode auf der infizierten Maschine einen willkürlich gewählten TCP-Port für die Verbindung mit einem IRC-Server, um weitere Befehle zu empfangen. Dies ermöglicht dem Übeltäter laut Kaspersky den vollständigen Zugang über IRC-Kanäle zum System und zu Informationen des infizierten Computers. Dadurch kann er auf dem Wirtsystem beliebige Dateien starten, laden, entfernen und den Rechner quasi "fernsteuern".

(ptx)

Dienstag, 22. Juni 2021
Wetter Symbol