|
|
|
FireDaemon.EXE, Backdoor.SdBot.nj, FireDaemon Service
IRQL_NOT_LESS_OR_EQUAL
xxx Adresse 80404376 base at 80400000, DateStamp 3ee6c002-ntoskrnl.exe
Beginn des Speicherabbildes
HijackThis
O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE
O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE
O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - C:\winnt\system32\dllcache\FireDaemon.EXE
C:\winnt\system32\dllcache\FireDaemon.exe -> Backdoor.SdBot.nj
C:\winnt\system32\dllcache\runbatch.exe -> Backdoor.ServU-based
C:\winnt\system32\dllcache\userlist.exe -> Backdoor.Iroffer.14b2
C:\windows\system32\dllcache\FireDaemon.exe -> Backdoor.SdBot.nj
C:\windows\system32\dllcache\runbatch.exe -> Backdoor.ServU-based
C:\windows\system32\dllcache\userlist.exe -> Backdoor.Iroffer.14b2
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_EVENTSEC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTSYSVERS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RUNBATCH\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\eventsec]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntsysvers]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\runbatch]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_EVENTSEC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NTSYSVERS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RUNBATCH\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\eventsec]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntsysvers]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\runbatch]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_EVENTSEC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTSYSVERS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_RUNBATCH\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\eventsec]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ntsysvers]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\runbatch]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_EVENTSEC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTSYSVERS\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNBATCH\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventsec]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntsysvers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runbatch]
W32/Muma-B
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.
Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Sysscan="C:\Winnt\System32\drivers\etc\dll.bat"
Löschen Sie den Eintrag, sofern er existiert.
Schließen Sie den Registrierungseditor.
W32/Muma-B ist ein Wurm, der sich verbreitet, indem er sich auf remote Netzwerkfreigaben mit einfachen oder gar keinen Kennwörtern kopiert und dort startet.
Die Hauptkomponente des Wurms ist ein selbst extrahierendes Archiv, das mehrere Dateien im Ordner C:\Winnt\System32\drivers\etc ablegt. Unter diesen Dateien sind Batchdateien für die Verbreitung, mirc-Skripte für den Backdoor-Zugriff und legale Dienstprogramme, die dieser Wurm verwendet. Die Dateien sind die folgenden:
AUTOHACK.BAT (W32/Muma-A)
DLL.BAT
HACK2.BAT (W32/Muma-A)
HIDDEN32.EXE (ein Dienstprogramm, um Anwendungsfenster zu verbergen)
IPCSCAN.EXE (Troj/Hacline-C)
IPCSCAN.BAT
IPCPASS.DIC
IPCUSER.DIC
KILL.EXE
LOAD.BAT
MIRC.INI
MOO.DLL
MRBNC.TXT
REMOTE.INI
RESULTS.TXT
SCRIPT.INI
SCRIPT1.DLL
SCRIPT2.DLL
SCRIPT3.DLL
SERVICES.EXE (Troj/Mirchack-A)
STORE.DLL
PSEXEC.EXE (Legitimate networking utility)
Der Wurm kann eine Kopie von HIDDEN32.EXE und PSEXEC.EXE im Ordner C:\Winnt\System32 ablegen. Die folgenden Dateien werden im selben Ordner abgelegt:
FIREDAEMON.EXE (ein Dienstprogramm, mit dem Programm als Dienste gestartet werden)
NEWUSER.BAT
SHAKE.BAT
NTSHARE2.BAT (W32/Muma-A)
W32/Muma-B startet NEWUSER.BAT, um die Sicherheitseinstellungen eines Windows 2000- oder XP-Computers herunterzusetzen.
W32/Muma-B verwendet IPCSCAN.EXE, um IP-Adresssen von potentiellen Opfern aufzuspüren. Der Wurm kopiert sich dann auf den remoten Computer und führt sich mit Hilfe von PSEXEC.EXE remote aus. Damit wird der gesamte Prozess neu gestartet.
W32/Muma-B verbindet sich mittels SERVICES.EXE mit einem vorkonfigurierten IRC-Server, um unbefugten Zugriff auf und die Steuerung über den Computer via IRC-Kanälen zu erlangen.
W32/Muma-B fügt den folgenden Registrierungseintrag hinzu, so dass SERVICES.EXE beim Start ausgeführt wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sysscan
="C:\Winnt\System32\drivers\etc\dll.bat"
wobei dll.bat eine Batchdatei ist, die HIDDEN32.EXE verwendet, um SERVICES.EXE zu starten und dessen Anwendungsfenster zu verbergen.
O23 - Service: FireDaemon Service: InternetFirewallProc - Unknown - c:\windows\system32\drivers\addins\FireDaemon.EXE
C:\WINDOWS\system32\drivers\addins\lsass.exe
Wenn Sie Ihren Computer neu starten, wird möglicherweise die folgende Fehlermeldung angezeigt:
STOP 0x0000001e KMODE_EXCEPTION_NOT_HANDLED in win32k.sys
STOP 0xC000021A {Schwerer Systemfehler} Der Windows-Anmeldeprozess wurde unerwartet beendet.
|
Ursache
Dieses Verhalten kann auftreten, wenn Sie den Virus "Backdoor.NTHack" von einem Remotehost auf Ihren Computer heruntergeladen haben. Dieser Virus wird durch die Datei "Dl.bat" im Ordner "InetPub\Scripts" initialisiert.
Dies führt dazu, dass die Dateien" Firedaemon.exe" und "Sud.exe" auf dem Computer installiert werden. Außerdem werden die Dateien "Os2srv.exe" und "Mmtask.exe" installiert, die zusammen mit den Dateien "Sud.exe" und "Index.exe" als Dienste ausgeführt werden.
http://support.microsoft.com/?kbid=294728
|
|
