1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Benjamin greift KaZaa-User an

Discussion in 'Sicherheit' started by hagen, May 20, 2002.

Thread Status:
Not open for further replies.
  1. hagen

    hagen ROM

    KaZaa: Benjamin in Umlauf.

    Name: Win32.Worm.Benjamin
    Aliases: Worm.Kazaa.Benjamion
    Type: Executable Worm
    Size: variable
    Discovered: 20.05.02
    Detected: 20.05.02, 12:00 (GMT+2)
    Verbreitung: mittel
    Schaden: gering

    Symptome:

    - Programm-Hinweisbox siehe Grafiken:
    - http://www.pro-support.de/bin/avtools/benjamin2.gif

    - Folgender Registry-Schluessel
    System Service with value C:\Windows\System\explorer.scr
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    (HKLM = HKEY_LOCAL_MACHINE)

    - eine Menge von EXE und SCR Dateien mit Dateinamen, die Titel
    von Filmen, Songs und auch bekannter Software beinhalten.
    Wo?: im Temp-Verzeichnis: z.B. Windows\Temp\Sys32 directory

    Technische Beschreibung:

    Fuehrt ein Benutzer den Wurm aus, erscheint eine Hinweis-
    Box des Programmes mit dem folgenden Text:
    "Access error #03A:94574: Invalid pointer operation
    File possibly corrupted"

    - http://www.pro-support.de/bin/avtools/benjamin2.gif

    Danach schreibt der Wurm zwei Registry-Keys:

    "System Service" mit Inhalt: "C:\Windows\System\explorer.scr" in
    "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

    und

    "syscod" mit dem Wert "0065D7DB20008306B6A1" in
    "HKLM\Software\Microsoft"

    Dann kopiert er sich selbst nach

    Windows\System\explorer.scr

    und den oben angesprochenen Dateien mit Namen bekannter Filme etc.
    nach C:\Windows\Temp\Sys32.

    Ist Kazaa installiert, wird der "Share Folder" nach
    C:\Windows\Temp\Sys32 geaendert.

    Falls nun ein Nutzer nach einem dieser Titel sucht, findet er
    nun hier die verseuchten Dateien des Wurmes. Siehe auch
    - http://www.pro-support.de/bin/avtools/benjamin1.gif

    Payload:
    Der Wurm oeffnet den Internet-Explorer mit dem URL: benjamin.xww.de

    Der Inhalt der Domain ist IMHO sehr uninteressant. Wohl daher, da
    die Domain geschlossen wurde:

    ... Domain aufgrund von massiven Beschwerden gesperrt.
    ... Domain closed due to massive abuse.

    >>> Entfernung von Benjamin

    - manuell:

    Alle Dateien loeschen im (Temp-)Verzeichnis (oft:) C:\Windows\Temp\Sys32
    Datei explorer.scr in C:\Windows\System loeschen
    Per Regedit den Schluessel
    "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
    entfernen.

    - automatisch:

    Kostenloses Tool gegen Benjaminchen von Bitdefender- siehe zum Beispiel
    http://www.pro-support.de/antivirus.shtml

    [Bitdefender: http://www.bitdefender.com

    Free Tools: http://www.bitdefender.com/html/free_tools.php ]

    [Diese Nachricht wurde von hagen am 22.05.2002 | 13:06 geändert.]
     
    hagen, May 20, 2002
    #1
Thread Status:
Not open for further replies.

Share This Page