|
|
ldr64.dll
m_hook.sys temp.zip Bagle.fy
|
|
ldr64.dll, m_hook.sys, temp.zip, Bagle.fy
Bagle-Würmer
Name Win32.Bagle.fy
Type Worm
How it spreads Email attachments
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64]
"LdCount"=dword:00000000
"prevt"=dword:00000000
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"="ldr64.dll"
"Startup"="Startup"
HKCU\Software\FirstRuxzx
* wintems.exe
* drvsyskit
* german.exe
* key000s01
* key000s02
* key000s03
* key000s04
* key000s05
The first time it is run, it drops the clean file C:\error.gif and opens it. This is an image of the word "Error".
It drops the file C:\temp.zip which contains an encrypted zip of itself.
It copies itself to the file \hidn\hidn.exe and drops the file \hidn\m_hook.sys
HijackThis
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
datfindbat
Verzeichnis von C:\
26.06.2006 23:00 84.730 temp.zip
Verzeichnis von C:\WINDOWS\system32
26.06.2006 23:00 281 edlm2.exe
26.06.2006 23:00 1.635 edlm.exe
Anwendungsdaten\hidn
f-secure.com/blacklight
06/27/06 11:07:41 [Info]: Hidden process: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\hidn2.exe
06/27/06 11:07:42 [Info]: Hidden file: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\hidn2.exe
06/27/06 11:07:42 [Info]: Hidden file: c:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\m_hook.sys
Anwendungsdaten\hidires
RootkitRevealer
http://technet.microsoft.com/de-de/sysinternals/bb897445(en-us).aspx
D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires
D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\hidr.exe
D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hidires\m_hook.sys
D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires
D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires\hidr.exe
D:\Dokumente und Einstellungen\User\Anwendungsdaten\hidires\m_hook.sys
D:\WINNT\system32\wintems.exe
HKEY_LOCAL_MACHINE\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit
HKEY_LOCAL_MACHINE\S-1-5-21-839522115-1677128483-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run\german.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"drvsyskit" = "%System%\hidr.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
; Contents of value:
; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
; Contents of value:
; \??\D:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\ANWENDUNGSDATEN\HIDIRES\M_HOOK.SYS
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook]
Avenger
Drivers to disable:
m_hook
Drivers to delete:
m_hook
registry keys to delete:
HKEY_CURRENT_USER\Software\FirstRuxzx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mloader32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook
Files to delete:
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\m_hook.sys
C:\Dokumente und Einstellungen\Username\Anwendungsdaten\hidn\hidn2.exe
%System%\hidr.exe
C:\WINDOWS\system32\edlm2.exe
C:\WINDOWS\system32\edlm.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\SYSTEM32\ldr64.dll
C:\temp.zip
C:\error.gif
Folders to delete:
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\hidires
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\hidn
|
alle temporären Dateien löschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\jdv4F.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\f6e4D.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\luo4C.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\tfg47.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\5wa44.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\sg542.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\fwa3D.tmp
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\ijm3C.tmp
Windows-Dienste abschalten!
http://www.dingens.org
|
|