Viren Testbericht

Kein Grippe Virus sondern ein fieser Computer Virus !!

Hallo Freunde der Virus geht um ,nicht der Grippe Virus sondern ein fieser Computer Virus ,er wird auch
CodeRed und CodeRed II genannt ,eigentlich ist er kein Virus sondern ein Wurm . Mein PC wahr ebenfalls von diesen Fiesling betroffen , und so etwas nehme ich sehr Persönlich ! Das gemeine an den Ungeziefer ist das es der User des betroffenen PC, nur sehr schwer erkennen kann ,das sein PC Infiziert ist .Ich kam nur den Wurm auf die Spur weil ich eine neue Firewall (AtGuard )Installiert habe die alle Ports Überwacht und alles Aufzeichnet ,was von meinem PC Gesendet oder Empfangen wird . Die meisten Anti–Virus Programme können diesen CodeRed II Wurm NICHT ERKENNEN ,da er zu NEU ist und es sich beim „CodeRed Wurm“ um zwei bis vier verschiedene Würmer/Programme handelt !!
Die entdeckten Varianten sind das CodeRed I oder CodeRed.A bzw. CodeRed II alias CodeRed.C


Zu Beachten ist das der CodeRed Wurm AUSSCHLIESSLICH WindowsNT und 2000 Systeme auf denen der Microsoft Internet Information Server (IIS) 4.0 oder 5.0 installiert ist und auf dem der von Microsoft bereitgestellte Patch für den \"Indexing Service\" nicht installiert ist, befällt

PCs mit Linux oder Windows 95/98 oder Me können von diesem Wurm NICHT attackiert werden.

Das Virus verbreitet sich nicht via eMail, wie dies die meisten Würmer machen, sondern erzeugt nach einem Zufallsprinzip entweder 300 oder 600 verschiedene IP-Adressen, die es dann mittels PortScan (Port 80) nach weiteren IIS Installationen absucht. Mit der gleichen Buffer-Overflow Attacke wie das Original gelingt es dem CodeRed II Virus seinen Code auf dem angegriffenen Server zu exekutieren.
Gelingt es dem Virus einen Server zu infizieren, checkt das Virus ob es sich auf einer chinesischen Installation befindet oder nicht. Ist dies der Fall erzeugt es nach dem Zufallsprinzip 600 IP-Adressen und versucht 48 Stunden lang sich an diese Adresse zu verschicken. Bei allen anderen Installationen erzeugt es nur 300 IP Adressen und versucht diese nur 24 Stunden lang zu infizieren.
Wie das Original CodRed Virus ist auch das CodeRed II in der Lage, schon von ihm infizierte Systeme als solche zu erkennen und Doppelinfektionen zu vermeiden.

Das Virus kopiert sich selbst und seinen gesamten Code sowohl auf C:\\explorer.exe als auch auf D:\\explorer.exe und stellt damit sicher, das es beim nächsten Aufruf der Explorer.EXE auch zuverlässig gestartet wird. Nach einem Start des Virus wird wieder die Original Explorer.EXE vom System aufgerufen. Darüber hinaus, kopiert der Wurm die CMD.EXE (Comand Shell) des Betriebsystems in das Standard Verzeichnis „Ausführbarer - Programme“. Mit Hilfe dieser Einträge ist es einem Angreifer möglich die volle Kontrolle über einen Infizierten Webserver zu erlangen.


So kann man den Virus Erkennen :
********************************
Die Login Datei der Firewall durchstöbern Nach IP Nummern an die dein PC etwas gesendet hat ohne dein zutun . Auf der C:\\ und D:\\ Platte nach den Folgenden Einträgen suchen.

c:\\inetpub\\scripts\\root.exe
d:\\inetpub\\scripts\\root.exe
c:\\progra~1\\common~1\\system\\MSADC\\root.exe
d:\\progra~1\\common~1\\system\\MSADC\\root.exe

ebenso nach Folgenden Eintrag in der Registry suchen.

HKLM\\SYSTEM\\CurrentControlSet\\Services\\W3SVC\\Parameters\\Virtual Roots


Entfernen des Virus :
*********************
Die einfachste Methode ist das von Microsoft zur Verfügung gestellte Tool ,das die Viren von PC Löschen .
Kostenlos zum Download unter dieser Adresse :

http://www.microsoft.com/technet/itsolutions/security/tools/redfix.asp

Mein Ärger über den Virusbefall meinen PC hatte ich schnell Vergessen als ich erfuhr das mein PC einer von
27 000 PC ist ,die Befallen wahren . Keiner kann genau sagen wie hoch die zahl der PC s ist ,die noch von den Virus befallen sind . Das erstes Opfer aus Österreich war die Webseite der DerStandand.at der durch diesen Wurm verändert wurde ,aber die bekanntesten sind sicher die ,http://www.whitehouse.gov/ und http://windowsupdate.microsoft.com also wahr mein PC in guter Gesellschaft .Ich hoffe das meine Informationen euch Helfen können ,zu Erkennen ob euer PC von diesen Virus befallen ist .

Gruß ghost1