Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- "WM-Ticket-Wurm" Sober.O schaltet Virenschutz ab (https://www.dedies-board.de/wbb2/thread.php?threadid=277)

Geschrieben von dedie am 04.05.2005 um 15:59:

Achtung "WM-Ticket-Wurm" Sober.O schaltet Virenschutz ab

Jetzt wirds interessant:

Zitat:
Der derzeit grassierende Wurm Sober.O hat nach Auskunft des Bundesamtes für Sicherheit in der Informationstechnik (BSI) doch Schadfunktionen. Das BSI hat seine Wurmbeschreibung dazu aktualisiert. So schaltet er einige Virenschutz-Programme ab und löscht insbesondere Dateien der Anti-Viren-Produkte von Symantec. In der Folge ist die Aktualisierung des Programms und der Signaturen nicht mehr möglich. Zudem verhindert der Wurm den Start verschiedener Entfernungs-Tools, indem er nach dem Namen solche Programme in der Prozessliste sucht.

Einige Hersteller haben darauf bereits reagiert und den Namen ihrer Tools geändert. So hat etwa McAfee den Dateinamen seines Werkzeugs Stinger kurzfristig auf ST1NGER.EXE umgestellt, in dem das "i" durch eine "1" ersetzt ist. Die Idee fand das Internet Storm Center allerdings nicht so gut und wies McAfee darauf hin, dass auch Angreifer solche Tricks etwa für Servernamen (paypa1.com) nutzten, um Anwender zu verwirren. McAfee bietet Stinger nun als s-t-i-n-g-e-r.exe zum Download an.

Zudem schaltet Sober die Windows XP-Firewall und das automatische Update von Windows ab. Diese Schadensfunktion soll allerdings erst nach einem Neustart des infizierten Computers zu bemerken sein. Ohne funktionierende Firewall bieten PCs, die nicht über einen Router oder ähnliches ans Internet angebunden sind, unter Umständen ein leichtes Ziel für weitere Angriffe.

Dass Sober.O zu einem recht massiven Wurm-Ausbruch führte, belegen auch die Zahlen des BSI. So fing man im Bereich der Bundesbehörden seit dem gestrigen Dienstag rund 400.000 infizierte Mails ab.

QUELLE

Beschreibung: W32.Sober.O@mm(BSI)


Geschrieben von Vimes am 04.05.2005 um 19:06:

  RE: "WM-Ticket-Wurm" Sober.O schaltet Virenschutz ab

"Ohne funktionierende Firewall"...

Man sollte deutlich dazusagen, daß eine Firewall, die auf dem verseuchten System läuft, nicht mehr hilft.

Und ein Router schützt auch nicht davor, daß der Grieche im trojanischen Pferd nach draußen eine Verbindung aufbaut.

My 2 cents.

MfG
Vimes