Zum Inhalt springen

Archiviert

Dieses Thema ist jetzt archiviert und für weitere Antworten gesperrt.

Thrall

! Wichtig !

Empfohlene Beiträge

@all

hier die beschreibung zum wurm

quelle - regenbogenkämpfer

weiß nicht ob das im richtigen forum steht

an unsere admins vielleicht pinnt ihr diesen bericht

schreibt " CD Key in Use - Ursache Wurm? - 17.09.2004 18.35 Uhr

Für alle Online Gamer ist Vorsicht geboten, denn es ist ein Wurm aufgetaucht mit dem es möglich ist, CD-Keys aktueller Spiele auszulesen! Symantec hat hierzu schon eine Meldung herausgegeben. Wenn ihr euch also wundert weshalb euer CD-Key plötzlich schon benutzt wird und wenn ihr wissen wollt, wie man ihn finden und entfernen kann schaut einfach mal unter mehr lesen nach.....

Das Besondere an diesem Wurm ist, dass er speziell darauf ausgelegt ist, die CD-Keys bekannter Spiele auszulesen. Eine Liste der Games findet ihr weiter unten!

Dieser Wurm verfügt über einen Netzwerkmonitor, ein DoS-Attack-Modul, einen Keylogger und verschiedene andere Payloads. Besondere Vorsicht ist geboten, da der Wurm sich nicht zu erkennen gibt und der User erst merkt das er infiziert ist, wenn ihm ein CD-Key abhanden gekommen ist.

Der Wurm nutzt zu seiner Verbreitung die Sicherheitslücken von Windows im Bereich des RPC DCOM. Symantec führt den Wurm unter der Kategorie Spybot und der Bezeichnung W32.Spybot.DNB. Der Wurm öffnet eine Backdor zum infizierten System und baut eine Verbindung zu einem IRC Channel in der Domain latina.a.la über TCP 6667 auf. Angreifer können das befallene System über das IRC-Netzwerk fernsteuern und so Dateien downloaden und ausführen, das lokale Netzwerk scannen, DoS-Attacken starten, Systeminformationen auslesen, Ports umleiten und Socks 4 und 5 Proxys starten.

Gefährdet sind alle Windows Betriebssysteme ab Windows 95 bis Windows XP.

Der Wurm ist noch nicht sehr weit verbreitet und im Moment hält sich die Ausbreitungsgeschwindigkeit noch in Grenzen.

Bringt zu eurem eigenen Schutz die Antiviren Software auf den neusten Stand und/oder ladet euch gegebenenfalls Antiviren Programme aus dem Internet herunter.

Hilfreich sind z.b. Ad-Aware, XP Antivir, etc.

Befallene Systeme haben im Systemverzeichnis (Z. B. bei W2000 zB. C:/Winnt/System32/, bei XP C:/Windows/System32/) eine Datei HPPrint.exe und in der Registry findet sich der Eintrag

"Win USB 2.0 USB Driver" = "HPPrint.exe"

in folgenden Registryschlüsseln:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices

Der Wurm wird dadurch bei jedem Systemstart ausgeführt.

Zusätzlich erzeugt er folgende Registrykeys:

HKEY_LOCAL_MACHINE/System/CurrentControlSet/ENUM/ROOT/LEGACY_KINGSTON

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Kingston

Der Wurm versucht folgende CD-Keys auszulesen:

Counter-Strike

The Gladiators

Gunman Chronicles

Half-Life

Industry Giant 2

Legends of Might and Magic

Soldiers Of Anarchy

Unreal Tournament 2003

Unreal Tournament 2004

IGI 2: Covert Strike

Freedom Force

Battlefield 1942

Battlefield 1942 (Road To Rome)

Battlefield 1942 (Secret Weapons of WWII)

Battlfield Vietnam

Black and White

James Bond 007: Nightfire

Global Operations

Medal of Honor: Allied Assault

Medal of Honor: Allied Assault: Breakthrough

Medal of Honor: Allied Assault: Spearhead

Need For Speed Hot Pursuit 2

Need For Speed: Underground

Shogun: Total War: Warlord Edition

FIFA 2002

FIFA 2003

NHL 2002

NHL 2003

Nascar Racing 2002

Nascar Racing 2003

Rainbow Six III RavenShield

Command and Conquer: Generals

Command and Conquer: Tiberian Sun

Command and Conquer: Red Alert

Command and Conquer: Red Alert 2

NOX

Chrome

Hidden & Dangerous 2

Soldier of Fortune II - Double Helix

Neverwinter Nights

Neverwinter Nights (Shadows of Undrentide)

Neverwinter Nights (Hordes of the Underdark)

Der Wurm kann aber auch ID´s bekannter Programme ausspionieren wie z.b.

AOL instant messenger (AIM)

Microsoft messenger service (MSN)

Microsoft Windows Product ID

Yahoo messenger

Link zu diesem Kommentar
Auf anderen Seiten teilen

naja, leider nichts wirklich neues, gibt schon seit jahren so dinger... z.b. das teil hier:

serialthief.png

versteckt sich per dll-injection, ist nicht mal 10kb groß und klaut von ca. 100 spielen die keys...

Link zu diesem Kommentar
Auf anderen Seiten teilen

kann es sein,das sich dieser wurm vpc32 nennt?

genau dieses ding hab ich seid gestern auf meinem rechner!! :o

und sobald ich bf gezoggt habe funzt danch mein internet-explorer nicht mehr!

und mein system schmiert immer öfter ab!! :o

vorhin war aufeinmal bg gelöscht!! :o

auf deutsch gesagt,ich brauch hilfe!!!

Link zu diesem Kommentar
Auf anderen Seiten teilen

internet abschalten, nach 10min online gehen schnell antivir update machen, internet abdrehen, neustarten, virenscan, internet an, neustarten

Link zu diesem Kommentar
Auf anderen Seiten teilen

hab ich schon alles gemacht,

spybot,add-aware und antivir guard!!

alle geupdatet und duchlaufen laßen,die finden nichts,nur meine firewall hat es heute morgen gemerkt als diese cpv32 datei,auf das internet zugreifen wollte.

der rechner läuft ganz normal,wenn ich dann ne runde bf zogge und danch wieder ins internet geht mein explorer nicht mehr daselbe mit netscape und firefox!!!

selbst der windows task manager funzt dann nicht mehr!!! :(

Link zu diesem Kommentar
Auf anderen Seiten teilen

Mach doch erst mal eine Systemwiederherstellung nimste einen Zeitpunkt bevor der ganze Mist angefangen hat. Kann ja sein das Du ihn so los wirst ( zwar unwarscheinlich aber es könnte ;) )

Link zu diesem Kommentar
Auf anderen Seiten teilen



  • Wer ist Online   0 Benutzer

    • Keine registrierten Benutzer online.
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.