Worm.VB ,Worm.Wupeer.a, W32/Alcra-A, W32/Alcra-B,

Worm.VB ,Worm.Wupeer.a, W32/Alcra-A, W32/Alcra-B

Combofix

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\Programme\msmovies
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{08BFB934-0321-1031-0921-000003270031}

p2pnetwork.bfu - anwenden weiter...

Sophos - disinfection/alcra weiter...

Ewido - Virenscanner weiter...

W32/Alcra-A is a worm for the Windows platform.

W32/Alcra-A legt die Dateien temp.zip, p2pnetwork.exe und bszip.dll im Windows-Systemordner ab. Die Datei temp.zip ist eine gezippte Kopie des Wurms. Bszip.dll ist ein virenfreies Dateikomprimierungsprogramm. Sophos Anti-Virus erkennt p2pnetwork.exe als W32/Rbot-ACZ.

W32/Alcra-A und W32/Alcra-B spreads via file sharing on P2P networks.

C:\temp.zip
C:\x.txt
C:\z.txt
C:\z.tmp
C:\xz.exe
C:\WINDOWS\system32\p2pnetwork.exe
C:\WINDOWS\system32\scvhost.exe
C:\Programme\MsConfigs
C:\Programme\winupdates
C:\Programme\winupdate
C:\Programme\winsupdater

C:\Dokumente und Einstellungen\%Username%\Complete

C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\Grim Fandango (1).zip infected by "P2P-Worm.Win32.Wupeer.a"
C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\Grim Fandango (1).zip

C:\WINDOWS\system32\CMD.COM
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\bszip.dll 

C:\Programme\winsupdater\a.tmp 
C:\Programme\winsupdater\a.zip/Setup.exe 
C:\Programme\winupdates\a.zip/Setup.exe 
C:\Programme\winupdates\a.zip
C:\Programme\winupdates\winupdates.exe
C:\Programme\MsUpdate  --> C:\Programme\MsUpdate\a.zip infected by "P2P-Worm.Win32.Wupeer.a

Registry
Start-->Ausführen-->regedit

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winupdates
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|p2pnetwork
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|ms-update
HKCU\System\CurrentControlSet\Control\Lsa|p2pnetwork

W32/Alcra-B includes functionality to download, install and run new malware executables
http://www.sophos.com

W32/Alcra-A

Der Wurm kopiert sich in freigegebene Ordner, die von beliebten Peer-to-Peer (P2P)-Dateiaustauschanwendungen benutzt werden. Dabei enthält der Pfad zu dem jeweiligen Ordner Folgendes:

Ares\My Shared Folder
Bearshare\Shared
Edonkey2000\Incoming
eMule\Incoming
gnucleus\downloads
grokster\my grokster
Kazaa\My Shared Folder
Limewire\Shared
morpheus\My Shared Folder
My Shared Folder
rapigator\share
shareaza\downloads shared

# C:\Program Files\Media Gateway\MediaGateway.exe
# SlySoft CloneDVD 2.8.2.1.zip

180Solutions Windupdates adware variant

C:\DOKUMENTE UND EINSTELLUNGEN\Username\Complete
IP Address Changer.zip
ArchiveType: ZIP -Setup.exe

Enthält Signatur des Wurmes WORM/Alcra.B
SlySoft CloneDVD 2.8.2.1.zip
Setup.exe

Enthält Signatur des Wurmes WORM/Alcra.B
7-Zip 4.26.zip
Setup.exe
...
...
...

C:\Programme\winupdates\a.zip/Setup.exe - Worm.VB.an : Gesäubert mit Backup

HKU\S-1-5-21-1715567821-1383384898-1957994488-1003\Software\ Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - Spyware.PopularScreensavers : Gesäubert mit Backup

C:\Dokumente und Einstellungen\User\Complete\3D Studio Max 7.zip/Setup.exe - Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\User\Complete\Absolute Pitch 1.36.zip/Setup.exe - Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\User\Complete\Access 2003 Bible.zip/Setup.exe - Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\User\Complete\ACDSee PowerPack 7.0.43.zip/Setup.exe - Worm.VB.an : Gesäubert mit Backup

Beispiel:

HijackThis

O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programme\180searchassistant\salmhook.dll O3 - Toolbar: SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - ht://install.global-netcom.de/ieloader.cab O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - ht://start.online-dialer.com/MaConnect.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - h://www.180searchassistant.com/180saax.cab ---------------------------- O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE /m O4 - HKLM\..\Run: [356202313ce] C:\WINDOWS\System32\356202313ce.exe O4 - HKCU\..\Run: [356202313ce] C:\WINDOWS\System32\356202313ce.exe --------------------------- O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM\..\Run: [MsMovies] C:\Programme\MsMovies\MsMovies.exe /auto O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - hxxx://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cab

Deinstallieren:
"Start - Einstellungen - Systemsteuerung - Software"

TV Movie ClickFinder
Media Gateway

C:\PROGRAMME\WINUPDATES\WINUPDATES.EXE
C:\Programme\winupdates\a.zip/Setup.exe
C:\Program Files\winupdates\a.zip
c:\programme\180searchassistant
C:\Programme\winupdates
C:\Program Files\Media Gateway
C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE
C:\Programme\TV Movie\TV Movie ClickFinder\tvdbaccess.exe
C:\WINDOWS\System32\356202313ce.exe

Beispiel:

C:\Programme\winupdates\a.zip/Setup.exe
C:\Programme\winupdates\winupdates.exe

C:\Dokumente und Einstellungen\User\Complete\1st Choice Ftppro 8.54182.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\2 Beautiful Lesbians.zip/Setup.exe -> Worm.VB.an
C:\Dokumente und Einstellungen\User\Complete\2nd Speech Center 3.00.050818.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\2nd Speech Center v3.00.050818.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Acronis Disk Director Suite 9.0 Build 55.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Acronis True ImageTrue Image Server 8.0.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Actual Title Buttons v3.7.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Actual Transparent Window v3.7.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Actual Window Guard v3.7.zip/Setup.exe
C:\Dokumente und Einstellungen\User\Complete\Actual Window Manager v3.7.zip/Setup.exe

Actual Window Menu v3.7.zip/Setup.exe
Actual Window Minimizer v3.7.zip/Setup.exe
Actual Window Rollup v3.7.zip/Setup.exe
Advanced eLearning Builder v3.41.zip/Setup.exe
Ahead DVD Ripper 1.1.4.1.zip/Setup.exe
AlbumPro 8.51.zip/Setup.exe
AlbumPro v8.51.zip/Setup.exe
Alicia Rhodes & Her Big Perfect Tits.zip/Setup.exe
All Home Inventory 1.3.1.zip/Setup.exe
All-In-One Learn To Speak Foreign Langua.zip/Setup.exe
Amazon DVD Shrinker v2.31.zip/Setup.exe
FantasyDVD Player Professional 8.21.zip/Setup.exe

C:\Programme\AVPersonal\INFECTED\winupdates.VIR -> Worm.VB.an : Gesäubert mit Backup
C:\Programme\winupdates\a.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup

Beispiel:

G:\programme (gepackt)\NetObjects Fusion PowerPack AIO 2006.zip/Setup.exe
G:\programme (gepackt)\Zeug\3DS Max7+SP13DS Max8.zip/Setup.exe
G:\musik\sonstiges\ungeordnet\Neuer Ordner\Anecdotes from 'Element of Crime' (DVD Screener).zip/Movie.exe

---