Ergebnis 1 bis 4 von 4

Thema: Anleitung zur Virenentfernung Zhelatin - Storm-Trojaner

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.337

    Standard

    Virenentfernung Zhelatin

    Getestet an folgenden Viren:

    Zhelatin.u
    Zhelatin.c
    Zhelatin.h
    Zhelatin.o
    Zhelatin.p
    Zhelatin.r
    Zhelatin.cz
    Zhelatin.ok
    Zhelatin.oa
    Zhelatin.ob

    Erklärung:

    Zhelatin ist ein Wurm der russischen RSG. Treffen die Berichte der Computerfachpresse zu, so entsteht momentan eines der größten Zombie-Netzwerke der Welt. Zombie = ferngesteuert. Der Programmier kann somit 1,7 Millionen PCs fernsteuern und diese missbrauchen. Die 1,7 Millionen PCs schüttele ich mir nicht aus dem Arm, diese Zahlen werden von der US-Wochenzeitung "Information Week" und dem österreichische IT-Portal "ORF-Futurezone" verwendet. Das Zombie-Netzwerk bekam den Namen "Storm Worm", der, bedingt durch die riesige Anzahl verseuchter PCs, damit auch große Netze erfolgreich attackieren könne. Betroffen sind ausschließlich Computer, die das Betriebssystem Windows installiert haben.

    Wer Wurm der oben genannten Versionen ist immer gleich, allerdings leicht verändert in seiner Auslieferung. Die Dateigrößen liegen zwischen 22380 und 50583 Byte und ist mithilfe UPX verpackt.

    Der Betreff lautet:

    flash postcard.exe
    Flash Postcard.exe
    Greeting Card.exe
    greeting card.exe
    Greeting Postcard.exe
    greeting postcard.exe
    Postcard.exe
    postcard.exe

    bzw. statt *.exe *.scr / *.zip

    Bei Installation kopiert sich der Wurm mit dem Attribut "hidden", d.h. er versteckt sich und wird mit normalen Einstellungen unter Windows nicht gefunden, in

    das Windows-System-Verzeichnis unter dem Namen alsys.exe:

    %System%\alsys.exe

    Der Wurm erstellt danach eine weitere *.exe und startet sie. Der Name dieser variiert ständig.

    Anschließend erstellt der Wurm im System-Register die folgenden Einträge, wodurch er beim Systemstart automatisch geladen wird:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Agent"="%System%\alsys.exe"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Agent"="%System%\alsys.exe"

    Außerdem erstellt der Wurm im Windows-System-Verzeichnis die folgenden Dateien, die auch Malware sind:

    %System%\wincom32.ini --> Peacomm - Trojaner
    %System%\wincom32.sys --> Win32/Nuwar.Q

    ----------------------------------------------------------------------------------------------------------

    offtopic:
    INFO PEACOMM

    Peacomm legt o.g. %System%\wincom32.sys als Gerät-Service-Treiber an.

    Der Trojaner erstellt dann die folgenden Registrierungsunterschlüssel, um den oben genannten Dienst im System zu verankern:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

    Sobald der Gerätetreiber geladen wurde, sucht er nach dem Prozess services.exe und nistet ein Modul darin ein. Er öffnet und überwacht die folgenden Ports,

    die als verschlüsselte Kommunikationskanäle verwendet werden.

    UDP-Port 4000

    Der Trojaner lädt dann ein der folgenden Dateien herunter und führt Sie aus.

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Dahinter verbirgt sich der Hoax (Scherzprogramm) Joke.Flipped, der den Windows-Desktop auf den Kopf stellt. Dies lässt sich durch Systemsteuerung -->

    Anzeige --> Registerkarte Einstellungen --> Erweitert --> Registerkarte der Grafikkarte rückgängig machen. Dort das Bild um 180° drehen...

    INFO NUWAR.Q

    Der folgende Port wird geöffnet:

    – services.exe am UDP Port 4000

    Das ist eine Hintertür, um von mehreren Servern weiterer Dateien herunterzuladen und somit die Verbindung zu seinem Programmierer hält. Allerdings war diese

    nicht aktiv gewesen, weswegen ich momentan davon ausgehe, dass außer den genannten 3 Scvhädlingen nichts auf den PC gelangen kann. Dies heißt aber

    nicht, das sich das in Zukunft ändern kann!


    ----------------------------------------------------------------------------------------------------------

    Außerdem verändert Zhelatin diesen Eintrag im System-Register:

    [HKLM\System\CurrentControlSet\Services\SharedAccess]
    "Start"="4"

    Das ist die Einstellung für die Windows Firewall/Internet Connection Sharing (ICS). Dabei blockiert er folgende Strings, so das u.a. Websiten einzelner

    Virenhersteller nicht mehr aufrufbar sind:

    alsys
    anti
    avg
    avp
    blackice
    firewall
    f-pro
    hijack
    lockdown
    mcafee
    msconfig
    nav
    nod32
    rav
    reged
    regedit
    spybot
    taskmgr
    troja
    viru
    vsmon
    zonea

    Desweiteren sucht Zhelatin auf den Festplatten nach Mailadressen und versendet sich an diese weiter.

    Wiederherstellung:

    Versteckte Systemdateien anzeigen: [Link nur für registrierte Mitglieder sichtbar. ]
    Im geschützen Modus neu starten: [Link nur für registrierte Mitglieder sichtbar. ]

    Folgende Dateien löschen:

    %System%\alsys.exe
    %System%\wincom32.ini
    %System%\wincom32.sys

    Folgende Einträge im System-Verzeichnis löschen:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Agent"="%System%\alsys.exe"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Agent"="%System%\alsys.exe

    Dort kommt man wie folgt hin: Start --> Ausführen --> Regedit und dann durch die Reiter Software\Microsoft\Windows\CurrentVersion\Run navigieren.

    Danach: Download Zonealarm, eine kostenlose Firewall. Damit die offenen Ports schließen: [Link nur für registrierte Mitglieder sichtbar. ]

    Danach: Kostenloses Antivirenprogramm Antivir downloaden, updaten und Festplatte durchsuchen lassen. Alle Funde fixen... [Link nur für registrierte Mitglieder sichtbar. ]
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  2. #2
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.337

    Standard

    Entfernung Peacomm:

    Deaktivierung der Systemwiderherstellung: [Link nur für registrierte Mitglieder sichtbar. ]

    Klicken Sie auf Start > Ausführen.
    Geben Sie regedit ein
    Klicken Sie auf OK.

    Hinweis: Wenn der Registrierungseditor nicht geöffnet werden kann, kann Peacomm die Registrierung geändert haben, um Zugriff auf den Registrierungseditor zu verhindern.

    Symantec hat hierzu ein nettes Tool entwickelt: [Link nur für registrierte Mitglieder sichtbar. ]

    Suchen Sie den folgenden Registrierungsunterschlüssel und löschen Sie ihn:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

Ähnliche Themen

  1. [Storm-Worm] ICS: Your internet-account is going to get suspended
    Von Goofy im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 7
    Letzter Beitrag: 10.11.2008, 16:53
  2. [Trojaner] 230 dead as storm batters Europe.
    Von Eniac im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 28
    Letzter Beitrag: 09.02.2007, 10:45
  3. Anleitung zum Spammen!!
    Von Answer 42 im Forum 5.1 Allgemeines & Smalltalk
    Antworten: 1
    Letzter Beitrag: 07.10.2006, 18:46
  4. Anleitung gesucht
    Von brk im Forum 5.1 Allgemeines & Smalltalk
    Antworten: 2
    Letzter Beitrag: 01.01.2005, 23:26

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen