Archiv verlassen und diese Seite im Standarddesign anzeigen : W32.Welchia.Worm hat Webspace Hoster infiziert
Vidarius
2004-10-01, 19:56:59
da ich mich, die letzten 2 Wochen etwas mit Internet Security befasst habe, bin ich gestern auf ein echt starkes Stück aufmerksam geworden.
Es geht um den W32.Welchia.Worm welcher seit mitte letzten Jahres bekannt ist. Es gibt ein Fix von Microsoft und sämtliche AntivirenTools kennen Ihn.
Betroffene Systeme sind: Microsoft IIS, Windows 2000, Windows XP
Nun der eigentliche Hammer: ich versichere Euch, das sehr viele von Euch den Worm auf den Rechner haben werden, und das auch wenn ihr Router, Firewall, Spybot, AdAware und Antivirus oder Worm/Trojan-Finder neuster Version auf dem Rechner habt.
Das Tool zum entfernen von Symantec findet Ihr bei Symantec.
Infos zu dem Worm bei Symantec: LINK (http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html)
Removal direkt bei Symantec: LINK (http://www.symantec.com/avcenter/FixWelch.exe)
Naja, das 99% zu hoch gegriffen sind ist im nachhinein klar geworden - aber nen scan schadet ja niemand.
mapel110
2004-10-01, 20:00:12
erstmal selbst gucken, ob ich den auf platte hab. dann vielleicht sticky. :)
Sephiroth
2004-10-01, 20:03:46
Das Forum da ist Reg-only.
Wieso sollte der zu 99%iger Wahrscheinlichkeit auf unseren Rechnern sein?
P.S.
hab ihn ganz gewiss nicht
Vidarius
2004-10-01, 20:06:32
hab den link gefixt - und nen downloadlink ist ja hier oben mit im post - und die 99% hat sich einfach gezeigt - nahezu jeder hat diesen worm - bissher ist mir nur 1er bekannt der ihn nicht hatte.
Dauerunreg
2004-10-01, 20:09:26
Also ich gehöre zu den 0,01% die ihn nicht haben.
Oder hebelt der wurm das tool aus?
Sollte man das im abges. modus starten?
ich lass laufen ma sehen
dann kommt nen edit
Christoph_R
2004-10-01, 20:11:39
sehe ich das der Wurm auf mein PC war wenn ich das Tool laufen lass?
Chris
Sephiroth
2004-10-01, 20:11:46
hab den link gefixt - und nen downloadlink ist ja hier oben mit im post - und die 99% hat sich einfach gezeigt - nahezu jeder hat diesen worm - bissher ist mir nur 1er bekannt der ihn nicht hatte.
Diese 99% für die Allgemeinheit scheinen mir übertrieben.Wo hast du denn die 99% beobachtet, im Bekanntenkreis?
Im übrigen ist der Wurm ist seit August 2003 bekannt und den DCOM Patch (Blaster ahoi) haben auch sicher Heute auch mehr Leute drauf als vor einem Jahr.
Vidarius
2004-10-01, 20:13:00
nein sollte man nicht - nur wenn er einen gefunden hatte nen restart und nochmal durchrennen lassen - das wars schon
letztlich ist das Teil ja auch net wirklich ne Monster Bedrohung wie z.b. der Blaster - fand es nur halt wirklich heftig das Trotz aller Maßnahmen um sowas zu vermeiden das Teil drauf war - komisch das ihn nichtmal der McAfee Stinger gefunden hatte :|
naja egal, will ja niemand angst machen oder so, aber lieber einmal mehr gescannt statt später in die Röhre gesehen, und letztlich tut der Scan ja nicht weh :) und rüttelt mal wieder die Leute wach die meinen das Internet wäre sicher etc. laber laber laber ....
Vidarius
2004-10-01, 20:16:04
Diese 99% für die Allgemeinheit scheinen mir übertrieben.Wo hast du denn die 99% beobachtet, im Bekanntenkreis?
Im übrigen ist der Wurm ist seit August 2003 bekannt und den DCOM Patch (Blaster ahoi) haben auch sicher Heute auch mehr Leute drauf als vor einem Jahr.
naja bin da in 2 Foren aktiv mit sagen wir mal auch nicht grad sehr wenigen Membern, und dort ließ es halt genau diesen anschein machen - gut - sicher mögen 99% jetzt sehr hoch gegriffen sein, aber mir gehts eigentlich nur darum, das der Wurm auf den Rechner sich rumtreiben kann, trotz neuster Antivir, Firewall, Spybot, AdAware, WurmStinger usw.
wie oben im Post geschrieben, nen Scan tut sicher keinen weh ;)
und das letzte update zu den Worm ist laut Symantec: Last Updated on: July 28, 2004 01:53:06 PM
rade0n
2004-10-01, 20:19:39
hum hab ihn auch nich drauf. sygate firewall + router + antivir + xp/sp2 > welchia -_-
BK-Morpheus
2004-10-01, 20:21:18
Hast mir echt Angst gemacht....hab das Tool durchlaufen lassen und es hat nix gefunden (achja, ich darf ja nun wieder die Systemwiederherstellung aktivieren).
Also hätte mich auch gewundert.
Windows ist erst seit kurzem wieder drauf und direkt mit SP2 + aktivierter FW + AV Personal Antivir.
Christoph_R
2004-10-01, 20:27:16
habsch nüx drauf :naughty:
wir sind halt besser wie die andren foren :tongue:
Windows XP Professional, Service Pack 2 , (installed for) 11w 5d 4h 56m,
Exxtreme
2004-10-01, 20:27:25
Ich habe ihn auch nicht drauf. ;(
Win2k + alle Patches + Antivir + Hardware-Router. :D
Vidarius
2004-10-01, 20:29:06
komisch das hier soviel dann letztlich das Ding doch nicht drauf haben - aber letztlich um so besser :)
mapel110
2004-10-01, 20:32:09
puh, halbe stunde gescannt und nix. jetzt erstma men of valor zockn...
da ich mich, die letzten 2 Wochen stark mit Internet Security befasst habe
ich versichere Euch, das 99% von Euch den Worm auf den Rechner haben
Hi
Nach 2 Wochen Beschäftigung mit dem Thema maßt du dich an so etwas zu behaupten ? Beschäftige dich lieber noch mal 2 Wochen damit bevor du hier so pauschales Zeug von dir läßt. Mir klingt das ganze eher nach Werbung für diese komische falcon Seite oder evtl. Symantec, hast du mit einem von beiden was zu tun ?
Gruß
Black-Scorpion
2004-10-01, 20:47:30
W32.Welchia.Worm has not been found on your computer.
Soviel zu den 99%.
WinXP SP1 + Patches + McAfee + Router :)
Vidarius
2004-10-01, 20:47:31
wie du im thread der "komischen" Falcon Seite sehen kannst, war da bissher nur 1er der den Wurm nicht hatte
und ja ich werde mich weiterhin mit Security beschäftigen, da ich ja noch nichtmal ansatzweise da in der Masse stecke, dennoch wollte ich es halt niemand vorenthalten.
ich halte nebenbei nix von symantec und habe kaspersky am laufen
erstmal selbst gucken, ob ich den auf platte hab. dann vielleicht sticky. :)
ich hab den nich
hab das symantec tool genommen
RaumKraehe
2004-10-01, 21:09:04
Hab ihn auch nicht. :|
Allerdings finde ich dei starke Verbreitung des Wurmes der den RPC-Bug auslöst viel erschreckender. Fast 1 Jahr nach der Herrausgabe der Patches ist der Wurm in Internet immer noch sehr aktiv.
Zumindest meldet mir mein Router ständing Versuche auf den Port zu connecten.
WarSlash
2004-10-01, 21:21:29
Ich habe 3 Rechner in meinen Heimnetzwerk gescannt!
Alle 3 haben zu 100 % nicht diesen Worm drauf, so viel dazu.
Alle Rechner haben Win Xp Sp2 und hängen am Router (NAT-Firewall) SMC Baricade G V2. Auf allen Rechnern ist AntiVir installiert.
Der Port 135 wird doch eh vom Router geschlossen, wie soll das dann mit dem Worm noch gehen?
govou
2004-10-01, 21:27:18
Hab ihn nicht, welch ein Wunder. Auch wenn ich allgemein von Virenscannern aller Art nichts halte und mich nur auf mein Hirn verlasse, hab ich hier eine Ausnahme gemacht. Nichts gefunden. =(
DocEvil
2004-10-01, 21:43:03
vielleicht sollte mal ein mod diesen bildniveau-threadtitel ändern...
Omnicron
2004-10-01, 22:02:13
Bei mir auch nix gefunden :unono:
Crazy_Bon
2004-10-01, 22:07:42
Was steht denn dran, wenn das Tools was gefunden und entfernt hat?
edit: Hat sich erledigt, nix Wurm, PC clean.
t-master
2004-10-01, 22:25:13
Ich hab den auch nicht drauf! ;(
NIS und Router-Firewall bewachen meinen PC ;)
Schweijk
2004-10-01, 22:29:49
Bei mir ist auch nichts zu sehen von dem Ding.Man muss halt nur sein System in ordnung halten, und ich hab weder Router noch Firewall.
AlfredENeumann
2004-10-01, 22:49:19
Nennt mir mal einer einen grund warum ein aktuelle Virenscanner das ding nicht finden sollte?
Hab ihn auch nicht.
1) Halte ich mein KAV absolut up to date
2) Lasse ich den Rechner in jeder Nacht von Sonntag auf Monatag den Rechner komplett scannen.
Hiro Hiroshi
2004-10-01, 22:52:23
Ich habe Bitdefender Professional Plus 8 + Router Firewall - kein Wurm in Sicht. :|
Markchen
2004-10-01, 23:01:00
Hab das Tool mal auf 108 Rechner per Softwareverteilung angestossen und bin mal gespannt.
Vidarius
2004-10-01, 23:31:36
das Problem wurde lokalisiert ist ist eigentlich auch kaum zu glauben:
der wurm wurde durch den ISP auf die Server verteilt auf denen sich die anderen Foren befinden in den ich sonst noch unterwegs bin - von den servern widerum auf die user, und das mit den sehr hohen erfolg der infizierung.
das hier keiner betroffen ist, ist letztlich so zu erklären das der 3dcenter server bei einen anderen isp gehostet wird.
Verteiler sind win2k server mit IIS 5 - was mich letztlich schon wieder ein wenig verwundert, ich mein, wer hostet schon webs auf einen windows server mit IIS?
Aber: sehr viele User wurde betroffen und das trotz Firewall, Antivir etc.
letztlich nur die, die den Port 135 geblockt hatten wurden verschont - soweit so gut
- wollte nur das ganze aufklären, nicht das ihr mich für nen spinner etc. haltet
gut hab nen bissl voreilig panik gemacht, aber naja lieber so als anders herum - oder?
nun wär es halt super wenn nen mod noch den thread-titel ein wenig entschärfen könnte ;)
ISP wird nicht genannt - wisst schon wiso ;)
Bin zwar gerade am Testen ob ich den Wurm habe, aber sinnlos finde ich den Thread nicht, kann ja nicht schaden wenn man es dennoch durchcheckt.
D3aDl0cK
2004-10-02, 01:37:00
nur am rande: hab ihn auch nicht.
Auch bei mir war nichts zu finden :rolleyes:
Faster
2004-10-02, 02:49:02
errinnere mich ihn mal gehabt zu haben und norton bzw antiVir hatten beide so ihre problemchen mit dem und konnten ihn nicht ganz vom sys entfernen, warum auch immer. hatte ihn dan damals mauell entfernt.
aktueller scan mit symantec-tool: kein wurm in sicht! :D
Lokadamus
2004-10-02, 08:06:56
mmm...
:( Copies itself to: %System%\Wins\Dllhost.exe
NOTE: %System% is a variable. The worm locates the System folder and copies itself to that location. By default, this is C:\Winnt\System32 (Windows 2000) or C:\Windows\System32 (Windows XP). :(
Hab im Wins- Ordner keine DLLHOST.EXE gefunden, nur im System32 und da darf sie sein, weil es dann ein Original von Windoof ist :uup: ...
Der Grund, warum hier solche Würmer keinen hohen Verbreitungsgrad haben, dürfte sein, weil hier die User entweder Router oder wenigstens eine PFw einsetzen und dadurch die Ports nicht mehr "offen" sind ...
Thorwan
2004-10-02, 08:38:50
Hab ihn ebenfalls nicht, zwei Systeme (je 1x 2000 und XP Pro) hinter einem Eumex Router, beide mit NAV 2004.
Coca-Cola
2004-10-02, 10:11:51
Hab ihn auf der Arbeit auch nicht! :wink:
Und zu Hause sowiesonicht :biggrin:
Ich haaaabe gar keine Internet zu Hause
Aber DSL 3000 am Arbeitsplatz(mit Brenner) :biggrin: :wave2:
ShadowXX
2004-10-02, 10:50:00
Hab ihn auch nicht....obwohl mein I-Net Rechner nur ein Win2k mit SP2 ist....
Hängt allerdings auch hinter einer NAT-Firewall...
Aber ich muss dem Theadstarter rechtgeben...lieber einmal zuviel als zuwenig "gescant"...
Duran05
2004-10-02, 10:54:19
Hat jemand von euch überhaupt schon gelesen, welchen "Schaden" dieser Wurm anrichtet? ;)
W32.Welchia.Worm does the following:
Attempts to download the DCOM RPC patch from Microsoft's Windows Update Web site, install it, and then restart the computer
Checks for active machines to infect by sending an ICMP echo request, or PING, which will result in increased ICMP traffic
Attempts to remove W32.Blaster.Worm
... Im Prinzip tut er gar nichts, außer den Rechner upzudaten und Blaster zu entfernen. :tongue:
Im Prinzip keine schlechte Idee: Jemand der Blaster anfällig ist, kann auch von diesem Wurm infiziert werden. Alle anderen im Regelfall nicht.
Solche Aussagen passen zu Deinem Avatar.
Morbid Angel
2004-10-02, 12:46:37
Vielleicht meinte er ja "W32.Welchia.Worm zu 99% NICHT auf euren Rechnern! ;)
HiddenGhost
2004-10-02, 13:41:24
hab ihn auch nich... aber wer sucht sich schon einen hoster der windoof einsetzt?
Byteschlumpf
2004-10-02, 13:44:47
Befund: negativ :)
Klingone mit Klampfe
2004-10-02, 15:01:34
Ich will ja niemandem zu nahe treten aber das ist der polemischste und unfundierteste Thread seit langem. "99% haben den Wurm" - Das ist Bildzeitungs-Niveau. Ich weiß ja nicht was deine "seriösen Quellen" für Spacken sind aber in diesem Forum wird der Wert kaum die 12-15%-Marke übersteigen.
Ich wäre dafür dass ein Mod mal den Titel ändert - das grenzt schon fast an Panikmache.
Rentner
2004-10-02, 15:50:34
Hab ihn auch nicht, aber besser einmal zuviel gescannt, als einmal zuwenig! :smile:
redfox
2004-10-02, 16:27:51
also auch ein "guter" Wurm, na schade, dass ich ihn nicht hab ;)
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.