outlook.exe - onoes.exe - W32.Beagle

Wurm rbot - Worm/VB.DW - Win32.P2P-Worm.Alcan.a - outlook.exe, onoes.exe

C:\Programme\outlook\outlook.exe

HijackThis

O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto

datfindbat

Verzeichnis von C:\WINDOWS\system32

15.02.2006 17:42 62.464 bszip.dll
15.02.2006 17:42 0 cmd.com
15.02.2006 17:42 0 netstat.com
15.02.2006 17:42 0 tasklist.com
15.02.2006 17:42 0 tracert.com
15.02.2006 17:42 0 taskkill.com
15.02.2006 17:42 0 regedit.com
15.02.2006 17:42 0 ping.com
10.02.2006 17:28 190 mslck.dat

Verzeichnis von C:\WINDOWS

01.02.2006 17:39 0 opad.exe

Verzeichnis von C:\

15.02.2006 14:40 175.104 onoes.exe

outlook.exe AntiVir 6.33.1.50 02.17.2006 Worm/VB.DW AVG 718 02.16.2006 Worm/Generic.IQ Avira 6.33.1.50 02.17.2006 Worm/VB.DW BitDefender 7.2 02.17.2006 Trojan.Dropper.G ClamAV devel-20060126 02.17.2006 Trojan.VB-100 DrWeb 4.33 02.17.2006 Trojan.MulDrop.3290 eTrust-InoculateIT 23.71.78 02.17.2006 Win32/Alcan.5tn!Worm eTrust-Vet 12.4.2086 02.17.2006 Win32/Alcan.I Ewido 3.5 02.17.2006 Worm.VB.dw Fortinet 2.69.0.0 02.17.2006 W32/VB.DW!p2p F-Prot 3.16c 02.17.2006 W32/VB.NQ Ikarus 0.2.59.0 02.16.2006 Backdoor.Win32.Rbot.GEN Kaspersky 4.0.2.24 02.17.2006 P2P-Worm.Win32.VB.dw McAfee 4699 02.17.2006 W32/Gaobot.worm.gen.u NOD32v2 1.1412 02.16.2006 a variant of Win32/TrojanDropper.VB.NAI Panda 9.0.0.4 02.16.2006 Trj/Gaodrop.A TheHacker 5.9.4.097 02.16.2006 W32/VB.dw UNA 1.83 02.16.2006 Worm.P2P.VB VBA32 3.10.5 02.17.2006 P2P-Worm.Win32.VB.dw

onoes.exe AntiVir 6.33.0.81 02.15.2006 Worm/RBot.174080 AVG 718 02.15.2006 IRC/BackDoor.SdBot.VJZ Avira 6.33.0.81 02.15.2006 Worm/RBot.174080 DrWeb 4.33 02.15.2006 Win32.HLLW.MyBot eTrust-InoculateIT 23.71.76 02.15.2006 Win32/RBot.3eu!Worm eTrust-Vet 12.4.2079 02.14.2006 Win32/Rbot.EPW Ewido 3.5 02.15.2006 Backdoor.Rbot Fortinet 2.69.0.0 02.15.2006 W32/AgoBot.U!bdr Kaspersky 4.0.2.24 02.15.2006 Backdoor.Win32.Rbot.gen McAfee 4697 02.15.2006 W32/Gaobot.worm.gen.u NOD32v2 1.1410 02.15.2006 Win32/Rbot Norman 5.70.10 02.15.2006 W32/Spybot.AGXH Panda 9.0.0.4 02.15.2006 W32/Gaobot.MFM.worm VBA32 3.10.5 02.15.2006 Backdoor.Win32.Rbot.gen

[outlook.exe]

FilePath : C:\PROGRAMME\OUTLOOK\
ProcessID : 1808
ThreadCreationTime : 13.04.2006 15:18:43
BasePriority : Normal

Win32.P2P-Worm.Alcan.a Object Recognized!
Type : Process
Data : bszip.dll
TAC Rating : 8
Category : Worm
Comment :
Object : C:\WINDOWS\system32\
FileVersion : 3.0.2.0
ProductVersion : 3.02
ProductName : BigSpeed Zip DLL
CompanyName : BigSpeedSoft --> BigSpeed Net lets you set up a virtual private peer-to-peer (P2P)
InternalName : bszip.dll
LegalCopyright : (c) BigSpeedSoft
LegalTrademarks : BigSpeed is a trademark of BigSpeedSoft
OriginalFilename : bszip.dll

Registrant:
BigSpeed Computing
Registered through: GoDaddy.com
Domain Name: BIGSPEEDSOFT.COM

Domain servers in listed order:
PARK3.SECURESERVER.NET
PARK4.SECURESERVER.NET

REINIGUNG

laden + anwendenbfu/p2p

laden + anwenden winlog_bfu

Sophos aktuellste Virendefinitionsdateien

1.) IDEs für SAV Version ........... (4.02)
Aktuelle CD und Web-Version Download Zip Download Exe - http://www.sophos.de/downloads/ide

2.) sav32sfx.exe

3.) gehe in C:\



4.) klicke SAV32CLI


5.)


AVG Anti-Spyware --> Worm.VB.dw entfernen

C:\Dokumente und Einstellungen\user\Complete
C:\Programme\outlook\p.zip/Setup.exe
C:\Programme\outlook\p.zip
C:\Programme\outlook

C:\Dokumente und Einstellungen\User\Complete\Outlook 2000 SR-1 Email Security Update SR-1.zip
C:\Dokumente und Einstellungen\User\Complete\Outlook 200098 Insecurity Post Patch 1.0.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Outlook 2002 Attachment Security Unlock Applet 1.0.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Outlook Accelerator 2.0.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Outlook Advanced Quoting 2.0.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Outlook Archive Renegade 1.0.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Outlook Archive Renegade 2.81.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Outlook Advanced Quoting 2.0.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Outlook Archive Renegade 1.0.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Outlook Archive Renegade 2.81.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Outlook Assist Agent 1.1.3.zip/Setup.exe

C:\Programme\outlook\p.zip\Setup.exe
C:\Programme\outlook\outlook.exe
C:\Programme\outlook\p.zip
C:\Programme\outlook\v.tmp

C:\RECYCLER\S-1-5-21-1417001333-776561741-839522115-1003\Dc97.zip --> Enthält Signatur des Wurmes WORM/VB.DW

C:\WINDOWS\system32\winlog.exe

[FUND] Enthält Signatur des Wurmes WORM/RBot.174080

BEISPIEL

Killbox

C:\onoes.exe
C:\WINDOWS\opad.exe
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\mslck.dat
C:\WINDOWS\system32\winlog.exe

öffne HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [seekmo] C:\Programme\Seekmo\seekmo.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [MediaGateway] C:\Programme\MediaGateway\MediaGateway.exe

deinstallieren-löschen
C:\Programme\Seekmo
C:\Programme\outlook
C:\Programme\BearShare
C:\Programme\MediaGateway

temporäre Dateien: -> CleanUp anwenden

C:\DOKUME~1\User\LOKALE~1\Temp\A~NSISu_.exe
C:\DOKUME~1\User\LOKALE~1\Temp\plf1.tmp
C:\DOKUME~1\User\LOKALE~1\Temp\nsq38.tmp

anderer PC

worm/alcra b.+ Bagle-Variante mit Rootkit-Funktion -> m_hook.sys

Aliases:
- Symantec: W32.Beagle.DZ
- Kaspersky: Trojan-Proxy.Win32.Mitglieder.ea
- TrendMicro: TROJ_MITGLIED.AK

Eingesetzte Methode:
Unsichtbar von Windows API

TR/Bagle.FU http://www.avira.com Wird der Mail-Anhang ausgeführt, lädt er weitere Komponenten aus dem Internet. Daraufhin wird eine Kopie des Schädlings mit dem Dateinamen "hidr.exe" sowie ein Rootkit-Treiber mit dem Dateinamen "m_hook.sys" im Verzeichnis "Application Data\hidires" im Profil des angemeldeten Benutzers abgelegt. Der Wurm erstellt Registry-Einträge über die die Komponenten beim Start von Windows geladen werden: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"drvsyskit" = "Documents and Settings\%UserName%\Application Data\hidires\hidr.exe" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook"ImagePath" = "Documents and Settings\%UserName%\Application Data\hidires\m_hook.sys"

Hijackthis

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll

F-Secure Blacklight

05/02/06 19:34:04 [Info]: Hidden file: c:\Dokumente und Einstellungen\Username\Anwendungsdaten\HIDIRES\HIDR.EXE
05/02/06 19:34:04 [Info]: Hidden file: c:\Dokumente und Einstellungen\Username\Anwendungsdaten\HIDIRES\M_HOOK.SYS

datfindbat

Verzeichnis von C:\WINDOWS\system32

01.05.2006 22:12 5.698 edlm.exe
01.05.2006 22:12 213 edlm2.exe
01.05.2006 19:56 5.263 ban_list.txt
01.05.2006 15:21 3.002 config.nt
01.05.2006 15:01 62.464 bszip.dll
14.04.2006 12:46 9 msade40.dll

Verzeichnis von C:\WINDOWS

03.05.2006 12:43 12 bthservsdp.dat (?)

Verzeichnis von C:\

15.04.2006 11:09 25 ent.xx1
15.04.2006 11:09 6 ent.xxx
09.04.2006 22:32 1.115 list

Avenger (Beispiel)

registry keys to delete: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_POWERMANAGER HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\PowerManager HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\drvsyskit HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\m_hook HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\m_hook Files to delete: C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\hidires\m_hook.sys C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\hidires\hidr.exe C:\WINDOWS\system32\edlm.exe C:\WINDOWS\system32\edlm2.exe C:\WINDOWS\system32\ban_list.txt C:\WINDOWS\system32\config.nt C:\WINDOWS\system32\bszip.dll C:\WINDOWS\system32\msade40.dll C:\WINDOWS\SYSTEM32\ldr64.dll C:\ent.xx1 C:\ent.xxx C:\list Folders to delete: C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\hidires C:\Dokumente und Einstellungen\%Username%\Complete