Falls Sie sich durch meine E-mail-Rundschreiben belästigt fühlen und diese nicht mehr erhalten wollen, schicken Sie mir hier »Abbestellen« eine e-mail. -Bitte Betreff nicht ändern- Ich streiche Sie dann aus meinem Verteiler. Hinweise (z.B. unbefriedigende Darstellung des Newsletters) oder Anregungen senden Sie mir bitte hier »Bemerkungen« per e-mail.

Medien über den Internet-Wurm "W32.Korgo.F"

Halle, 03.06.04 (ergänzt 04.06.04)

weitere Infos bei: PC-Notarzt.net

Guten Tag,

in den Medien wird über den Internet-Wurm "W32.Korgo.F" berichtet.

Zu Ihrer Information habe ich ein paar Eckdaten zusammengestellt:
(Synonyme für den Wurm: "W32.Korgo.F", "Worm/Padobot.F", "Worm.Win32.Padobot.e", "W32/Korgo.worm.g", "WORM_KORGO.F")

W32.Korgo ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 verbreitet.
Der Wurm verbreitet sich nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, allein wenn Sie Verbindung zum Internet haben.
Bei der Infektion (oder dem Infektionsversuch) eines Systems kann es zu einer Fehlermeldungen mit anschließendem automatischen Neustart des Systems kommen. Außerdem deutet ungewollte Internetaktivität des Computers u.U. auf den Befall mit Schadenssoftware hin.
betroffen: Windows XP, Windows 2000
nicht betroffen: Windows 98/Me/NT
Entscheidend ist es, die angegriffene Schwachstelle mit dem Sicherheits-Update KB835732 (s. Sicherheitsbulletin MS04-011) zu schließen. Da dies die gleiche Schwachstelle ist, die schon der Wurm "Sasser" vor einigen Wochen benutzte, sollten sicherheitsbewußte Anwender diese Lücke inzwischen längst geschlossen haben.
(s. auch meine News-Meldung vom 03.05.04: MicrosoftSecurity Bulletin MS04-011 )
Zur Feststellung und zur Bereinigung des evtl. bereits eingedrungenen Wurms haben die führenden Hersteller von Sicherheitssoftware Ihre Virenschutzprogramme aktualisiert oder Interims-Tools bereitgestellt (oder werden das in Kürze fertiggestellt haben).
Computer die via Lokales Netzwerk über einen Router mit Firewall-Funktionalität oder durch eine Dektop-Firewall ins Internetverbunden werden, sind (geeignete Einstellung der Firewall vorausgesetzt) gut geschützt.
(Der Wurm verbindet sich über den TCP Port 445 zu anderen Systemen und hört folgende TCP Ports ab: 113, 3067, und andere zufällige Ports)
Sollten Sie unsicher sein oder gar schon Opfer geworden sein, wenden Sie sich an mich.

Einzelheiten über W32.Korgo.F (03.06.2004) können Sie z.B. beim Bundesamt für Sicherheit in der Informationstechnik nachlesen.
Bei H+BEDV (AntiVir "mit dem Regenschirm") finden sie ebenfalls eine Beschreibung des Wurms.

In meinem letzten Rundschreiben hatte ich Ihnen empfohlen, mal einen Sicherheitstest mit Ihrem PC zu absolvieren:

02.06.04

Testen Sie Ihren PC auf Sicherheit beim Surven im Internet

Dieser online-Test prüft auf sog. "offene Ports", die Zugang zu Ihrem PC vom Internet aus ermöglichen könnten.

Das Ergebnis könnte z.B. so aussehen.

Im günstigsten Falle, wenn alle Ports als "BLOCKED" diagnostiziert wurden, haben Sie bereits ein hohes Maß an Sicherheit gegen Zugriffe von Außen.

Der Port: ICMP 8

ICMP

8

OPEN

An ICMP ping request is usually used to test Internet access. However, an attacker can use it to determine if your computer is available and what OS you are running. This gives him valuable information when he is determining what type of attack to use against you.

ist auch "OFFEN" relativ ungefährlich.

Mit freundlichen Grüßen

Horst Dieter Göllnitz - Ihr PC-Notarzt

EDV-Beratung und Service
Senefelderstraße 15, 06114 Halle (Saale)
funk: 0177 / 5 23 04 55, tel&fax: 0345 / 5 23 04 55
pc-notarzt.halle@pc-notarzt.net, http://www.pc-notarzt.net
Sparda Bank Berlin Zw. Halle BLZ:120 965 97 Kto: 583 9009
Steuernummer: 111/224/02977