Virenentfernung Zhelatin
Getestet an folgenden Viren:
Zhelatin.u
Zhelatin.c
Zhelatin.h
Zhelatin.o
Zhelatin.p
Zhelatin.r
Zhelatin.cz
Zhelatin.ok
Zhelatin.oa
Zhelatin.ob
Erklärung:
Zhelatin ist ein Wurm der russischen RSG. Treffen die Berichte der Computerfachpresse zu, so entsteht momentan eines der größten Zombie-Netzwerke der Welt. Zombie = ferngesteuert. Der Programmier kann somit 1,7 Millionen PCs fernsteuern und diese missbrauchen. Die 1,7 Millionen PCs schüttele ich mir nicht aus dem Arm, diese Zahlen werden von der US-Wochenzeitung "Information Week" und dem österreichische IT-Portal "ORF-Futurezone" verwendet. Das Zombie-Netzwerk bekam den Namen "Storm Worm", der, bedingt durch die riesige Anzahl verseuchter PCs, damit auch große Netze erfolgreich attackieren könne. Betroffen sind ausschließlich Computer, die das Betriebssystem Windows installiert haben.
Wer Wurm der oben genannten Versionen ist immer gleich, allerdings leicht verändert in seiner Auslieferung. Die Dateigrößen liegen zwischen 22380 und 50583 Byte und ist mithilfe UPX verpackt.
Der Betreff lautet:
flash postcard.exe
Flash Postcard.exe
Greeting Card.exe
greeting card.exe
Greeting Postcard.exe
greeting postcard.exe
Postcard.exe
postcard.exe
bzw. statt *.exe *.scr / *.zip
Bei Installation kopiert sich der Wurm mit dem Attribut "hidden", d.h. er versteckt sich und wird mit normalen Einstellungen unter Windows nicht gefunden, in
das Windows-System-Verzeichnis unter dem Namen alsys.exe:
%System%\alsys.exe
Der Wurm erstellt danach eine weitere *.exe und startet sie. Der Name dieser variiert ständig.
Anschließend erstellt der Wurm im System-Register die folgenden Einträge, wodurch er beim Systemstart automatisch geladen wird:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"
Außerdem erstellt der Wurm im Windows-System-Verzeichnis die folgenden Dateien, die auch Malware sind:
%System%\wincom32.ini --> Peacomm - Trojaner
%System%\wincom32.sys --> Win32/Nuwar.Q
----------------------------------------------------------------------------------------------------------
offtopic:INFO PEACOMM
Peacomm legt o.g. %System%\wincom32.sys als Gerät-Service-Treiber an.
Der Trojaner erstellt dann die folgenden Registrierungsunterschlüssel, um den oben genannten Dienst im System zu verankern:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
Sobald der Gerätetreiber geladen wurde, sucht er nach dem Prozess services.exe und nistet ein Modul darin ein. Er öffnet und überwacht die folgenden Ports,
die als verschlüsselte Kommunikationskanäle verwendet werden.
UDP-Port 4000
Der Trojaner lädt dann ein der folgenden Dateien herunter und führt Sie aus.
whois: [Link nur für registrierte Mitglieder sichtbar. ]
whois: [Link nur für registrierte Mitglieder sichtbar. ]
whois: [Link nur für registrierte Mitglieder sichtbar. ]
whois: [Link nur für registrierte Mitglieder sichtbar. ]
Dahinter verbirgt sich der Hoax (Scherzprogramm) Joke.Flipped, der den Windows-Desktop auf den Kopf stellt. Dies lässt sich durch Systemsteuerung -->
Anzeige --> Registerkarte Einstellungen --> Erweitert --> Registerkarte der Grafikkarte rückgängig machen. Dort das Bild um 180° drehen...
INFO NUWAR.Q
Der folgende Port wird geöffnet:
– services.exe am UDP Port 4000
Das ist eine Hintertür, um von mehreren Servern weiterer Dateien herunterzuladen und somit die Verbindung zu seinem Programmierer hält. Allerdings war diese
nicht aktiv gewesen, weswegen ich momentan davon ausgehe, dass außer den genannten 3 Scvhädlingen nichts auf den PC gelangen kann. Dies heißt aber
nicht, das sich das in Zukunft ändern kann!
----------------------------------------------------------------------------------------------------------
Außerdem verändert Zhelatin diesen Eintrag im System-Register:
[HKLM\System\CurrentControlSet\Services\SharedAccess]
"Start"="4"
Das ist die Einstellung für die Windows Firewall/Internet Connection Sharing (ICS). Dabei blockiert er folgende Strings, so das u.a. Websiten einzelner
Virenhersteller nicht mehr aufrufbar sind:
alsys
anti
avg
avp
blackice
firewall
f-pro
hijack
lockdown
mcafee
msconfig
nav
nod32
rav
reged
regedit
spybot
taskmgr
troja
viru
vsmon
zonea
Desweiteren sucht Zhelatin auf den Festplatten nach Mailadressen und versendet sich an diese weiter.
Wiederherstellung:
Versteckte Systemdateien anzeigen: [Link nur für registrierte Mitglieder sichtbar. ]
Im geschützen Modus neu starten: [Link nur für registrierte Mitglieder sichtbar. ]
Folgende Dateien löschen:
%System%\alsys.exe
%System%\wincom32.ini
%System%\wincom32.sys
Folgende Einträge im System-Verzeichnis löschen:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Agent"="%System%\alsys.exe
Dort kommt man wie folgt hin: Start --> Ausführen --> Regedit und dann durch die Reiter Software\Microsoft\Windows\CurrentVersion\Run navigieren.
Danach: Download Zonealarm, eine kostenlose Firewall. Damit die offenen Ports schließen: [Link nur für registrierte Mitglieder sichtbar. ]
Danach: Kostenloses Antivirenprogramm Antivir downloaden, updaten und Festplatte durchsuchen lassen. Alle Funde fixen... [Link nur für registrierte Mitglieder sichtbar. ]
Lesezeichen