Hi,

nur mal zur Info: Ich hab mal bei Symantec auf der HP gesucht und folgendes Tool zum Download gefunden (removal instructions...). Ich habs mal runtergeladen aber da ich grad formatiert habe (hab den scheiß Virus auch gehabt!) hab ich ihn nicht drauf und kann nicht sagen ob das Tool was bringt.
Naja, ich verabschiede mich und mach erst mal Linux drauf. Das scheint mir für die nächsten Wochen das sicherste!!!
Man liest sich!

MfG Matthias Volland

Quell-URL:
http://securityresponse.symantec.com...ster.worm.html

Kaspersky, McAfee, [und Computerbild-Online ] schreiben Vergleichbares. Das Öffnen des Ports 4444 für weitere Nutzung (und sei es zur Verbreitung) ist in meinen Augen eine Aktion, die eher von einem Trojaner als vom einem Wurm durchgeführt wird.

Aler ich will mich da jetzt nicht auf Haarspaltereien einlassen - letztlich ging es für mich gestern lediglich um die Frage, wie ich das Gerät wieder loswerde. Ob es per Definition eher ein Wurm oder ein Trojener ist .... geschenkt.

LOL ... Winworm.exe ... Wurm aus Troja ...

Um es zusammenzufassen, es ist: ein vireninfizierter Wurm aus Troja mit dem Namen Winworm.exe

@Daniel: Nimms mir nicht übel ... bin wohl heute irgendwie [Quatsch nicht Exkrement sondern extrem meine ich ] drauf

Ich hab zwar keine Firewall, aber AntiVir und da lade ich mir auch jede Woche ein Update runter. So hatte ich bis jetzt noch keine Probleme.

Oder ich bin nur davor verschont geblieben.

Naja, es gibt Würmer, Trojaner und Viren.

Viren vermehren sich selber.
Trojaner sind Software die getarnt ein System von innen aufbrechen.
Würmer sind normalerweise Viren die durch ihre Aktionen immer mehr Rechenpower des infizierten Systemes lahmlegen. Im Gegensatz zu Viren die meistens ein System sofort lahmlegen, sind Würmer sozusagen die schleichende Seuche. Alle 3 Definitionen treffen auf alle 3 definitionen selber zu. D.h. meistens ist eine Angriffssoftware gleichzeitig Wurm,Trojaner und Virus. Da sie sich 1.) selber verbreiten soll, 2.) in ein System einbrechen soll damit man von Aussen das System kontrollieren kann und 3.) durch die Aktivitäten soll es Server lahmlegen, durch den Verbauch von immer mehr Rechenpower.

In Falle von MSBlast und jedem anderen System das DoS Attacken ausführen kann, wird es ein Virus + Trojaner + Wurm sein.

MSBlast muß ein Virus sein, da sich kein Hacker selber hinsetzt und ein System angreift um MSBlast zu installieren, dies ließe sich meistens zurückverfolgen. Das System wird die Verbreitung von selber erledigen. Um den DoS Attacke auszuführen sollte man einen Trojaner nehmen damit man von aussen diese Attacke steuern kann. Es scheint so das MSBlast dieses Datum aber hardcoded enthält.
Die eigentliche Aktion von MSBlast ist die eines Wurmes, er legt durch Resourcenverbrauch einen Server lahm. Es ist dabei nicht mehr entscheidend das MSBlast auf dem Zielserver läuft.

Somit ist die MS Indexerstellung ebenfalls ein Wurm den ich sofort nach Installation deaktiviert habe. Jede Firewall ist im gleichen Atemzug ein Trojaner, bis ich die Sourcen gesehen habe

Gruß Hagen

@Hagen: http://www.ntkernel.com da gibts ne OpenSource-Firewall die mit TDI Hooking arbeitet ... vielleicht isset was für dich, hmm?!

Schon blöde so'ne Sache, da tönt man das man FireWalls ohne Source nicht trauen darf, und ich selber nutze noch ZoneAlarm, oh Schreck.
Werde sie mir aber auf alle Fälle anschauen, alleine schon weil ich wissen will wie's funktioniert. Aber auch Luckies Vorschlag zieh ich mir mal rein

Gruß Hagen

@Assarbad
Es gibt Definitionen für die Unterscheidung
http://www.th-security.de/virusarten.php3
http://schwager.net/seminar/tips/107viren.htm
usw. google hilft

@JoelH: Ich kenne die Definitionen (auch wenn ich sie nicht wortwörtlich wiedergeben könnte ). Für was hältst du es denn nachdem du auf die Defs guckst? (Ich bleibe bei obigem ersten Gebot).

Als wenn die Definition bei dem Ding die größe Sorge wäre.