|
|
|
bootini.exe
W32/Vanebot-K - bootini.exe
W32/Rbot-FMN ist ein Wurm, der sich auf remote Netzwerkfreigaben verbreitet. Er hat Backdoor-Funktionalität und ermöglicht über IRC-Kanäle unbefugten remoten Zugriff auf den infizierten Computer, während er im Hintergrund als Dienstprozess ausgeführt wird.
W32/Rbot-FMN verbreitet sich auf Netzwerkfreigaben, die durch einfache Kennwörter geschützt werden und über Sicherheits-Schwachstellen, indem das Backdoor-Element von einem remoten Angreifer den entsprechenden Befehl erhält.
Auf der Website von Microsoft steht das folgende Patch für die von W32/Rbot-FMN ausgenutzte Schwachstelle zur Verfügung:
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx
Combofix
C:\WINDOWS\system32\76325_netapi.exe
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"
---------------------------------------------------
datfindbat
Directory of C:\WINDOWS\system32
22-10-2006 14:47 120.320 76325_netapi.exe
HijackThis
Running processes:
C:\WINDOWS\System32\bootini.exe
F2 - REG:system.ini: Shell=Explorer.exe bootini.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,bootini.exe
O4 - HKLM\..\Run: [Microsoft Windows] bootini.exe
O4 - HKCU\..\Run: [Microsoft Windows] bootini.exe
avenger
Files to delete:
C:\WINDOWS\System32\bootini.exe
C:\WINDOWS\system32\76325_netapi.exe
|
delete - bootini.exe
rechtsklick - löschen
gehe in die Registry - Start - Ausführen - regedit
bearbeiten - suchen - bootini.exe
Modify
Explorer.exe bootini.exe - Modify - nur bootini.exe rauslöschen
C:\Windows\System32\userinit.exe,bootini.exe - Modify - nur bootini.exe rauslöschen
HKCU\Software\Microsoft\OLE
Microsoft Windows -> löschen
bootini.exe -> löschen
PC neustarten
multiavtool
scan mit Sophos
'W32/Vanebot-K' found in file C:\avenger\backup.zip\avenger/76325_netapi.exe
'W32/Vanebot-K' found in file C:\avenger\backup.zip\avenger/76325_netae
'W32/Vanebot-K' found in file C:\avenger\backup.zip\avenger/bootini.exe
Removal successful
die Internetverbindung wurde umgeleitet: - mit Hijackthis fixen
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7CD14CC-3CC9-4A2E-A06C-3E77FF573425}: NameServer = 219.76.66.69,219.76.99.71
addresses 219.76.66.69
Registrant:
PCCW-HKT DataCom Services Limited
39/F PCCW Tower, Taikoo Place
979 King's Rd
Quarry Bay, Hong Kong 0
HK
registry_stuff
Firewall (XP)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start"=dword:00000004 - ist deaktiviert
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"DisplayName"="Remote Registry"
"ErrorControl"=dword:00000001
"ObjectName"="NT AUTHORITY\\LocalService"
"Group"=""
"Start"=dword:00000004 ist deaktiviert
"Type"=dword:00000020
Security Center ist deaktiviert (Ab XP SP2)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Type"=dword:00000010
"Start"=dword:00000004 - ist deaktiviert - dword:00000002 bedeutet "manuell"
"ErrorControl"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=dword:00000001
"DoNotAllowXPSP3"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000001
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
Start - Ausführen - services.msc
Remote Registry - disabled
Disabled
Telnet - disabled (Rechtsklick: Eigenschaften)
Der Registry-Eintrag zum Deaktivieren lautet wie folgt:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=dword:00000004
2.Reiter - Log On - Disable - Apply (bestätigen, unten rechts klicken) -
gehe in die Registry - Start - Ausführen - regedit
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM
N - in Y ändern
Y = Die DCOM-Unterstützung ist aktiviert.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=dword:00000001 - in 0 ändern
"DoNotAllowXPSP3"=dword:00000001 - in 0 ändern
W32/Rbot kann den folgenden Registrierungseintrag ändern, um die anonyme Aufzählung von SAM-Konten einzuschränken:
Ob Null Sessions auf dem System zugelassen sind, können Administratoren in der Registry festlegen
- RestrictAnonymous = "Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben (nicht) erlauben"
- RestrictAnonymousSAM = "Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten (nicht) erlauben"
- RestrictAnonymousSAM = 1 RestrictAnonymous regelt die Auflistung von Freigaben
- Sog. NullSessions (net use \\rechner\ipc$) erlauben über TCP-Port 139 den Zugriff auf Windows Rechner. Dadurch können Listen der User/Gruppen, Namen, Eventlog (Application sowie Systemlog) eingesehen werden.
0 - Keine Standardberechtigungen verwenden.
1 - Aufzählung von SAM-Konten und -Namen nicht zulassen.
2 - Kein Zugriff ohne explizite anonyme Berechtigung.
Wenn Sie diesen Wert auf 1 setzen, können sich Rechner nicht mehr mit Freigaben dieses Rechners verbinden, ohne sich mit einen gültigen Account anzumelden.
Sofern diese Werte auf 1 gesetzt sind, sind keine anonymen Zugriffe möglich.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
Bei Windows NT sollte der Registry-Schlüssel HKLM\SYSTEM\Current ControlSet\Control\LSA\RestrictAnonymous auf 1 gesetzt werden.
"restrictanonymous"=dword:00000000 - in 1 ändern
"restrictanonymoussam"=dword:00000001
Alternativ lassen sich die Einstellungen auch in den lokalen Sicherheitsrichtlinien (/Programme/Verwaltung/) unter den Punkten /Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen kontrollieren. Anonyme Aufzählung von SAM-Konten nicht erlauben sowie Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben sollten auf "Aktiviert" stehen.
Microsoft Security Bulletin MS05-039
Sicherheitsanfälligkeit in Plug-and-Play kann Remotecodeausführung und Erhöhung von Berechtigungen ermöglichen
http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms05-039.mspx
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.spybot.won.html
http://www.avira.com/de/threats/section/fulldetails/id_vir/2855/worm_sdbot.41906.html
Windows-Firewall/ICS
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
"Start"=dword:00000002
|
|