FireDaemon
|
FireDaemon.EXE, Backdoor.SdBot.nj, FireDaemon ServiceIRQL_NOT_LESS_OR_EQUAL xxx Adresse 80404376 base at 80400000, DateStamp 3ee6c002-ntoskrnl.exe Beginn des Speicherabbildes
HijackThis
O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE C:\winnt\system32\dllcache\FireDaemon.exe -> Backdoor.SdBot.nj C:\winnt\system32\dllcache\runbatch.exe -> Backdoor.ServU-based C:\winnt\system32\dllcache\userlist.exe -> Backdoor.Iroffer.14b2 C:\windows\system32\dllcache\FireDaemon.exe -> Backdoor.SdBot.nj C:\windows\system32\dllcache\runbatch.exe -> Backdoor.ServU-based C:\windows\system32\dllcache\userlist.exe -> Backdoor.Iroffer.14b2 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EVENTSEC\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSYSVERS\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNBATCH\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\eventsec] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntsysvers] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\runbatch] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_EVENTSEC\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTSYSVERS\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RUNBATCH\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\eventsec] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntsysvers] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\runbatch] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_EVENTSEC\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSYSVERS\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RUNBATCH\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\eventsec] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ntsysvers] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\runbatch] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EVENTSEC\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSYSVERS\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNBATCH\0000] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventsec] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntsysvers] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runbatch] W32/Muma-B
Klicke in der Taskleiste auf Start|Ausführen. Gebe "Regedit" ein und drücke Enter. Es öffnet sich der Registrierungseditor.
* Bevor man die Registrierung verändern, sollte man ein Backup erstellen. Klicke im Menü "Registrierung" auf "Registrierungsdatei exportieren", wähle als Exportbereich "Alles" und speicher die Registrierung als Backup. * Suche unter HKEY_LOCAL_MACHINE den Eintrag: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Sysscan="C:\Winnt\System32\drivers\etc\dll.bat"* Lösche den Eintrag, sofern er existiert.* Schließe den Registrierungseditor. W32/Muma-B ist ein Wurm, der sich verbreitet, indem er sich auf remote Netzwerkfreigaben mit einfachen oder gar keinen Kennwörtern kopiert und dort startet. Die Hauptkomponente des Wurms ist ein selbst extrahierendes Archiv das mehrere Dateien im Ordner C:\Winnt\System32\drivers\etc ablegt. Unter diesen Dateien sind Batchdateien für die Verbreitung, mirc-Skripte für den Backdoor-Zugriff und legale Dienstprogramme, die dieser Wurm verwendet. Die Dateien sind die folgenden: AUTOHACK.BAT (W32/Muma-A) DLL.BAT HACK2.BAT (W32/Muma-A) HIDDEN32.EXE (ein Dienstprogramm, um Anwendungsfenster zu verbergen) IPCSCAN.EXE (Troj/Hacline-C) IPCSCAN.BAT IPCPASS.DIC IPCUSER.DIC KILL.EXE LOAD.BAT MIRC.INI MOO.DLL MRBNC.TXT REMOTE.INI RESULTS.TXT SCRIPT.INI SCRIPT1.DLL SCRIPT2.DLL SCRIPT3.DLL SERVICES.EXE (Troj/Mirchack-A) STORE.DLL PSEXEC.EXE (Legitimate networking utility)
Der Wurm kann eine Kopie von HIDDEN32.EXE und PSEXEC.EXE im Ordner C:\Winnt\System32 ablegen. Die folgenden Dateien werden im selben Ordner abgelegt:
FIREDAEMON.EXE (ein Dienstprogramm, mit dem Programm als Dienste gestartet werden) NEWUSER.BAT SHAKE.BAT NTSHARE2.BAT (W32/Muma-A) W32/Muma-B startet NEWUSER.BAT, um die Sicherheitseinstellungen eines Windows 2000- oder XP-Computers herunterzusetzen. W32/Muma-B verwendet IPCSCAN.EXE, um IP-Adresssen von potentiellen Opfern aufzuspüren. Der Wurm kopiert sich dann auf den remoten Computer und führt sich mit Hilfe von PSEXEC.EXE remote aus. Damit wird der gesamte Prozess neu gestartet. W32/Muma-B verbindet sich mittels SERVICES.EXE mit einem vorkonfigurierten IRC-Server, um unbefugten Zugriff auf und die Steuerung über den Computer via IRC-Kanälen zu erlangen. W32/Muma-B fügt den folgenden Registrierungseintrag hinzu, so dass SERVICES.EXE beim Start ausgeführt wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sysscan ="C:\Winnt\System32\drivers\etc\dll.bat" wobei dll.bat eine Batchdatei ist, die HIDDEN32.EXE verwendet, um SERVICES.EXE zu starten und dessen Anwendungsfenster zu verbergen. O23 - Service: FireDaemon Service: InternetFirewallProc - Unknown - c:\windows\system32\drivers\addins\FireDaemon.EXE C:\WINDOWS\system32\drivers\addins\lsass.exe Wenn Sie Ihren Computer neu starten, wird möglicherweise die folgende Fehlermeldung angezeigt:
Ursache Dieses Verhalten kann auftreten, wenn Sie den Virus "Backdoor.NTHack" von einem Remotehost auf Ihren Computer heruntergeladen haben. Dieser Virus wird durch die Datei "Dl.bat" im Ordner "InetPub\Scripts" initialisiert. Dies führt dazu, dass die Dateien" Firedaemon.exe" und "Sud.exe" auf dem Computer installiert werden. Außerdem werden die Dateien "Os2srv.exe" und "Mmtask.exe" installiert, die zusammen mit den Dateien "Sud.exe" und "Index.exe" als Dienste ausgeführt werden.
http://support.microsoft.com
|
