Schädlinge Worm/Rjump.E - Worm Warnung

Es ist wieder ein neuer und gefährlicher wurm erkannt und ich möchte euch
ein paar infos geben was es für auswirkungen hat auf das system....

will keine panik verbreiten aber das sollte jeder internet user sehen...

Quelle: http://www.avira.com/de/threats/section/fulldetails/id_vir/3624/worm_rjump.e.html

Name: Worm/Rjump.E
Entdeckt am: 23/06/2006
Art: Worm
In freier Wildbahn: Nein
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig bis mittel
Schadenspotenzial: Mittel
Statische Datei: Nein
Dateigröße: ~3.500.000 Bytes
VDF Version: 6.35.00.61 - Fri, 23 Jun 2006 05:54 (GMT+1)

General Aliases:
• Mcafee: BackDoor-DIJ W32/RJump.worm
• Kaspersky: Worm.Win32.RJump.a Worm.Win32.RJump.b
• F-Secure: Worm.Win32.RJump.a Worm.Win32.RJump.b
• Sophos: Troj/RJump-I W32/RJump-A W32/RJump-G
• Eset: Win32/RJump.A Win32/RJump.B
• Bitdefender: Worm.RJump.A Win32.Worm.RJump.F Worm.RJump.K

Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Auswirkungen:
• Änderung an der Registry
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\ Mit einem der folgenden Namen:
• AdobeR.exe
• RavMonE.exe

– An: %Laufwerk%\ Mit einem der folgenden Namen:
• AdobeR.exe
• RavMonE.exe

Es wird folgende Datei erstellt:

– %Laufwerk%\AUTORUN.INF Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• RavAV = %WINDIR%\RavMonE.exe
• RavAV = %WINDIR%\AdobeR.exe

Hintertür Der folgende Port wird geöffnet:

– %ausgeführte Datei% an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Einer der folgenden:
• http://natrocket.kmip.net:5288/**********
• http://natrocket.9966.org:5288/**********
• http://scipaper.kmip.net/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
• Computername
• Geöffneter Port

Edit:Antivir.de

 

Bitte die Quelle für den Text angeben.

cu
logofreax

 

äääähhhh....... joy.... haste Dir schon mal das Datum angeschaut???????

 

wollt ich auch schon sagen *hüstel*

aber habs halt bleiben lassen

 

ja ist mir auch aufgefallen aber irgendwie hat mein antivir das so gemeldet bei mir :( sry.... hab nicht drauf geachtet... er hat nur gesagt aktuell usw ....