Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Helkern-Epidemie - Eine Chronologie der Ereignisse

Mitglied: Frank

Quelle: Kaspersky Labs

Man kann mit Sicherheit behaupten, dass Helkern schon lange vor dem 25. Januar aufgetaucht ist, als die Antiviren-Entwickler und die Presse von diesem Ereignis bereichtet haben. Zum ersten Mal wurden Daten-Pakete, welche den Wurm-Kopien ähnelten am 20. Januar 2003 um 20:07 MEZ von Kaspersky Labs entdeckt. Diese Daten wurden von einem Computer abgeschickt, der einem US-amerikanischen Provider gehörte. Doch das bedeutet ganz und gar nicht, dass Helkern von den Mitarbeitern dieses Unternehmens erstellt wurde, sondern höchstwahrscheinlich wurde der Server von entfernten Hackern infiziert. Deshalb kann sich die Wahrheit über die Herkunft des Wurms in den Report-Dateien der Aufrufe dieses Servers verstecken.
Etwas später am selben Tag wurde Helkern in Daten, die von einem Server in den Niederlanden verschickt wurden, entdeckt. Danach wurde der Wurm bis am 23.Januar um 21:21 (MEZ) nicht mehr bemerkt, als noch eine Wurm-Kopie in Daten, die von einem anderen Server in den Niederlanden abgeschickt wurden, entdeckt wurde. Eine plötzliche Hyper-Aktivität entfaltete Helkern erst in der Nacht vom 24. auf den 25. Januar. D.h. die Inkubationszeit dieses Wurms beträgt fast 5 Tage. In dieser Zeit konnte die Malware eine kritische Anzahl Server infizieren, welche dann eine Kettenreaktion hervorrief.
Nach anderen Angaben befand sich das Epizentrum der Epidemie in China, von wo aus der Wurm in Server in Südkorea und in den Philippinen eindrang. Danach erreichte Helkern den westlichen und zentralen Teil der USA und teilte sich in zwei Ströme: Der erste verlief Richtung Australien und Neuseeland, der zweite Richtung Westeuropa.

Die geographische Verbreitung des Wurms sieht folgendermaßen aus:

Land Anzahl infizierter Server (in % gemessen an der Gesamtzahl der Infizierungen)
USA 48,4%
Deutschland 8,2%
Südkorea 4,9%
Großbritannien 4,9%
Kanada 4,9%
China 3,3%
Niederlande 2,7%
Taiwan 2,7%
Griechenland 2,2%
Schweden 2,2%

Wie der Tabelle weiter oben zu entnehmen ist, verbreitete der Wurm sich fast über die ganze Welt. Das belegt wieder einmal die Unzulänglichkeit der Idee einer virenähnlichen Cybernetz-Waffe. Diese hat die Eigenschaften eines Bumerangs, was sie für militärische Ziele unbrauchbar macht.

Bis jetzt (27. Januar) ist die Epidemie praktisch neutralisiert und die normale Funktionsfähigkeit des Internets wiederhergestellt. Im Internet werden noch regelmäßig Kopien von Helkern registriert, doch ihre Anzahl ist um Hunderte Male kleiner als auf dem Gipfel der Aktivität des Wurms. Insgesamt kann ihre Anwesenheit im Internet-Verkehr zu keinen Störungen mehr führen. Für die Neutralisierung des Wurms waren die gemeinsamen Handlungen der Internet-Provider sicher hilfreich, welche eine Filtrierung der schädlichen Pakete Helkerns integriert haben und der User, welche den Patch für die Schwachstelle im Sicherheitssystem des Microsoft SQL-Servers installiert haben.

http://www.kaspersky.com

Content-Key: 522

Url: https://administrator.de/contentid/522

Ausgedruckt am: 25.07.2021 um 23:07 Uhr

Mitglied: e-bernd
e-bernd 16.02.2005 um 08:21:20 Uhr
Goto Top
Hi
hatte am 15.02.2005 5 Angriffe: von IP 207.0.16.143 - 24.197.6.25 - 80.224.255.75 - 61.159.8.92 - 61.136.60.40


MFG
Bernd
Mitglied: tigermore
tigermore 06.08.2005 um 14:03:02 Uhr
Goto Top
ich werde andauernd von helkern angegriffen und kaspersky blockt die angriffe immer =/

mich würds interessieren wie du den angriff so genau zurückverfolgen konntest =?
Mitglied: StrgAltEntf
StrgAltEntf 03.11.2005 um 15:03:57 Uhr
Goto Top
Mein Angriff am 3.11.2005 um 14:45

Routenverfolgung zu p2032-ipbf217kyoto.kyoto.ocn.ne.jp [221.190.229.32] über maximal 30 Abschnitte:

1 * * * Zeitüberschreitung der Anforderung.
2 41 ms 31 ms 31 ms 62.180.95.1
3 37 ms 35 ms 35 ms aps238-se-sto.nl-ams2.concert.net [166.49.208.238]
4 40 ms 39 ms 35 ms t2c1-ge6-1.de-dus.eu.bt.net [166.49.237.33]
5 42 ms 39 ms 39 ms t2c2-p2-0.de-fra.eu.bt.net [166.49.195.154]
6 42 ms 39 ms 39 ms t2a5-ge6-1.de-fra.eu.bt.net [166.49.172.124]
7 45 ms 43 ms 39 ms ixp1-ge1-1.de-fra.eu.bt.net [166.49.163.198]
8 44 ms 47 ms 43 ms ge-0.decix.frnkge03.de.bb.verio.net [80.81.192.46]
9 56 ms 43 ms 43 ms p16-3-0-0.r00.frnkge03.de.bb.verio.net [129.250.2.141]
10 65 ms 63 ms 63 ms p16-7-1-3.r20.londen03.uk.bb.verio.net [129.250.5.8]
11 144 ms 134 ms 147 ms p16-0-1-1.r21.nycmny01.us.bb.verio.net [129.250.2.134]
12 215 ms 211 ms 240 ms p64-0-0-0.r21.sttlwa01.us.bb.verio.net [129.250.5.16]
13 329 ms 324 ms 321 ms p64-1-3-0.r21.tokyjp01.jp.bb.verio.net [129.250.4.186]
14 340 ms 323 ms 323 ms xe-0-0-0.a21.tokyjp01.jp.ra.verio.net [61.213.162.226]
15 322 ms 323 ms 323 ms xe-1-3-0.a21.tokyjp01.jp.ra.verio.net [61.120.145.190]
16 327 ms 323 ms 336 ms 210.254.188.173
17 314 ms 323 ms 310 ms 61.207.14.25
18 315 ms 311 ms 311 ms 61.207.14.62
19 316 ms 315 ms 315 ms 221.184.18.26
20 320 ms 319 ms 320 ms 222.146.38.178
21 326 ms 318 ms 319 ms 221.184.14.118
22 332 ms 319 ms 319 ms 221.113.150.211
23 345 ms 331 ms 343 ms p2032-ipbf217kyoto.kyoto.ocn.ne.jp [221.190.229.32]
Heiß diskutierte Beiträge
question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 1 TagFrageBenchmarks53 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

question
2U Home-Server Frage zur HardwaremossoxVor 1 TagFrageServer-Hardware13 Kommentare

Hallo zusammen, ich habe in den letzten Jahren auf die Systeme von Synology gesetzt. Im Wesentlichen ging es immer nur um simple CIFS Dienste, nichts ...

question
Firmengelände Glasfaser mehrere GebäudeTonLichtVideoVor 1 TagFrageNetzwerke5 Kommentare

Hallo zusammen, Ist Zustand: Firmengelände mit mehreren großen Hallen die zentral per Glasfaser verbunden werden sollen. Längen zwischen 100 und 400 Metern. Aufgrund der Zukunftssicherheit ...

question
Powershell Ordner löschen die älter als x Tage sind gelöst sascha46Vor 1 TagFrageEntwicklung7 Kommentare

Hallo Ich würde gerne in einem Verzeichnis alle Ordner die älter als X Tage sind löschen. Aber irgendwie bekomme ich das nicht hin. Bisher habe ...

report
Erfahrungsbericht Vodafone - Die endlose VertragsänderunganteNopeVor 12 StundenErfahrungsberichtFlatrates12 Kommentare

Hallo zusammen, natürlich ist es öffentlich bekannt, dass Vodafone nicht gerade der "beste" Anbieter ist. Für mich persönlich ist Vodafone an Inkompetenz nicht zu überbieten ...

question
Seltsame Dateisperrungen beim NASSarekHLVor 1 TagFrageWindows 106 Kommentare

Hallo zusammen, ich gebe mal eine Anfrage aus unserem Gemeindebüro weiter: für einige Vorgänge, wie zum Beispiel das Erstellen des monatlichen Mitteilungsblattes, arbeiten Frau X ...

question
Cisco 2702 Autonomous Mode gelöst interface31Vor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hi, habe gerade paar 2702 AP im Auto Mode an Netz gehängt. Mir kommt es vor das diese mit ihrer SSID aber nicht sichtbar sind. ...

question
Aruba iAP Airwave aktivinterface31Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hi, habe ein paar Aruba iAP an denen der Airwave Management noch aktiv ist. Sprich nach ein paar Minuten zieht dieser sich die Info vom ...