|
|
|
wgareg.exe, Windows Genuine Advantage Registration Service
HijackThis
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe
Für die Lücke im Windows-Serverdienst, die von Microsoft am August-Patchday geschlossen wurde, gibt es nun zwei Varianten des Mocbot-IRCBot für Windows-2000-Rechner:
Die beiden IRCBot-Varianten setzen sich als wgareg.exe beziehungsweise wgavm.exe im Windows-Systemverzeichnis fest. Diese Dateien sind anschließend als Windows-Dienst Windows Genuine Advantage Registration Service respektive als Windows Genuine Advantage Validation Monitor registriert und starten mit Systemrechten beim Hochfahren des infizierten Rechners. Der Bot-Netzbetzreiber kann dann beliebige Befehle an infizierte Rechner absetzen; eingebaut in den Schädling sind unter anderem Routinen für SYN-Floods, DDoS-Attacken, das Öffnen einer Shell sowie Funktionen zum Suchen und Infizieren von verwundbaren Rechnern. Die Antivirenhersteller liefern inzwischen aktualisierte Signaturen aus, mit denen die Würmer erkannt werden.
Weiterlesen bei Heise Online und Mocbot/MS06-040 IRC Bot Analysis:
http://www.heise.de/newsticker/meldung/76768
Filename: wgareg.exe
Filesize: 9,609 bytes
MD5: 9928a1e6601cf00d0b7826d13fb556f0
SHA1: 352a276346eabde7bfce9efee732a973e0d26baa
Packer: MEW
CME Number: none assigned
Laut einer Meldung von f-secure.com können alle Betriebssysteme von Windows von diesem Backdoor, Wurm und Trojaner 'RCBot.st' Alias: Backdoor.Win32.IRCBot.st, W32.Wargbot, W32/Cuebot-L, WORM_IRCBOT.JL, IRC-Mocbot!MS06-040 betroffen sein.
Service Name: wgareg
Display Name: Windows Genuine Advantage Registration Service
Start Mode: Auto
Start Name: LocalSystem
Description: Windows Genuine Advantage Registration ...
Service Type: Own Process
Path: c:\winnt\system32\wgareg.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch
|
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG\0000]
"DeviceDesc"="Windows Genuine Advantage Registration Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg]
"DisplayName"="Windows Genuine Advantage Registration Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG\0000]
"DeviceDesc"="Windows Genuine Advantage Registration Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg]
"DisplayName"="Windows Genuine Advantage Registration Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG\0000]
"DeviceDesc"="Windows Genuine Advantage Registration Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg]
"DisplayName"="Windows Genuine Advantage Registration Service"
|
Avenger
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg
Files to delete:
C:\WINNT\system32\wgareg.exe
C:\WINNT\system32\msibot.cfg
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\webui_1.6.7.zip
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ranges34084.zip
|
|
|
