bootini.exe

bootini.exe

* W32/Rbot-FMN ist ein Wurm, der sich auf remote Netzwerkfreigaben verbreitet. Er hat Backdoor-Funktionalität und ermöglicht über IRC-Kanäle unbefugten remoten Zugriff auf den infizierten Computer, während er im Hintergrund als Dienstprozess ausgeführt wird.

* W32/Rbot-FMN verbreitet sich auf Netzwerkfreigaben, die durch einfache Kennwörter geschützt werden und über Sicherheits-Schwachstellen, indem das Backdoor-Element von einem remoten Angreifer den entsprechenden Befehl erhält.

* Auf der Website von Microsoft steht das folgende Patch für die von W32/Rbot-FMN ausgenutzte Schwachstelle zur Verfügung: weiter

weiter Combofix

C:\WINDOWS\system32\76325_netapi.exe

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"

weiter datfindbat

Directory of C:\WINDOWS\system32

22-10-2006 14:47 120.320 76325_netapi.exe

weiter HijackThis

Running processes:

C:\WINDOWS\System32\bootini.exe

F2 - REG:system.ini: Shell=Explorer.exe bootini.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,bootini.exe
O4 - HKLM\..\Run: [Microsoft Windows] bootini.exe
O4 - HKCU\..\Run: [Microsoft Windows] bootini.exe

weiter Avenger (Beispiel)

Files to delete:
C:\WINDOWS\System32\bootini.exe
C:\WINDOWS\system32\76325_netapi.exe

weiter delete - bootini.exe

bootini.exe

rechtsklick - löschen

bootini.exe

gehe in die Registry - Start - Ausführen - regedit

bearbeiten - suchen - bootini.exe

bootini.exe

bootini.exe

Modify
bootini.exe

Explorer.exe bootini.exe - Modify - nur bootini.exe rauslöschen

C:\Windows\System32\userinit.exe,bootini.exe - Modify - nur bootini.exe rauslöschen

bootini.exe

HKCU\Software\Microsoft\OLE

Microsoft Windows -> löschen
bootini.exe -> löschen

PC neustarten

weiter Multiavtool

scan mit Sophos

'W32/Vanebot-K' found in file C:\avenger\backup.zip\avenger/76325_netapi.exe
'W32/Vanebot-K' found in file C:\avenger\backup.zip\avenger/76325_netae
'W32/Vanebot-K' found in file C:\avenger\backup.zip\avenger/bootini.exe
Removal successful

weiter die Internetverbindung wurde umgeleitet: - mit Hijackthis fixen

O17 - HKLM\System\CCS\Services\Tcpip\..\{A7CD14CC-3CC9-4A2E-A06C-3E77FF573425}: NameServer = 219.76.66.69,219.76.99.71

addresses 219.76.66.69

Registrant:
PCCW-HKT DataCom Services Limited
39/F PCCW Tower, Taikoo Place
979 King's Rd
Quarry Bay, Hong Kong 0
HK

weiter Registry_stuff anwenden

Firewall (XP)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start"=dword:00000004 - ist deaktiviert

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"DisplayName"="Remote Registry"
"ErrorControl"=dword:00000001
"ObjectName"="NT AUTHORITY\\LocalService"
"Group"=""
"Start"=dword:00000004 ist deaktiviert
"Type"=dword:00000020

Security Center ist deaktiviert (Ab XP SP2)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Type"=dword:00000010
"Start"=dword:00000004 - ist deaktiviert - dword:00000002 bedeutet "manuell"
"ErrorControl"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=dword:00000001
"DoNotAllowXPSP3"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000001
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001

* Start - Ausführen - services.msc

services.msc

Remote Registry - disabled

Remote Registry - disabled

Disabled

Disabled

Telnet - disabled (Rechtsklick: Eigenschaften)

Der Registry-Eintrag zum Deaktivieren lautet wie folgt:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=dword:00000004

TlntSvr - dword:00000004

2.Reiter - Log On - Disable - Apply (bestätigen, unten rechts klicken)

TlntSvr

Apply

* gehe in die Registry - Start - Ausführen - regedit

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM
N - in Y ändern

EnableDCOM

Y = Die DCOM-Unterstützung ist aktiviert.

DCOM-Unterstützung ist aktiviert DCOM-Unterstützung ist aktiviert

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=dword:00000001 - in 0 ändern
"DoNotAllowXPSP3"=dword:00000001 - in 0 ändern

WindowsUpdate

W32/Rbot kann den folgenden Registrierungseintrag ändern, um die anonyme Aufzählung von SAM-Konten einzuschränken:

Ob Null Sessions auf dem System zugelassen sind, können Administratoren in der Registry festlegen

- RestrictAnonymous = "Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben (nicht) erlauben"
- RestrictAnonymousSAM = "Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten (nicht) erlauben"

- RestrictAnonymousSAM = 1 RestrictAnonymous regelt die Auflistung von Freigaben

- Sog. NullSessions (net use \\rechner\ipc$) erlauben über TCP-Port 139 den Zugriff auf Windows Rechner. Dadurch können Listen der User/Gruppen, Namen, Eventlog (Application sowie Systemlog) eingesehen werden.

0 - Keine Standardberechtigungen verwenden.
1 - Aufzählung von SAM-Konten und -Namen nicht zulassen.
2 - Kein Zugriff ohne explizite anonyme Berechtigung.

Wenn Sie diesen Wert auf 1 setzen, können sich Rechner nicht mehr mit Freigaben dieses Rechners verbinden, ohne sich mit einen gültigen Account anzumelden.

Sofern diese Werte auf 1 gesetzt sind, sind keine anonymen Zugriffe möglich.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

Bei Windows NT sollte der Registry-Schlüssel HKLM\SYSTEM\Current ControlSet\Control\LSA\RestrictAnonymous auf 1 gesetzt werden.

"restrictanonymous"=dword:00000000 - in 1 ändern
"restrictanonymoussam"=dword:00000001

Alternativ lassen sich die Einstellungen auch in den lokalen Sicherheitsrichtlinien (/Programme/Verwaltung/) unter den Punkten /Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen kontrollieren. Anonyme Aufzählung von SAM-Konten nicht erlauben sowie Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben sollten auf "Aktiviert" stehen.

weiter Microsoft Security Bulletin MS05-039
Sicherheitsanfälligkeit in Plug-and-Play kann Remotecodeausführung und Erhöhung von Berechtigungen ermöglichen

http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms05-039.mspx
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.spybot.won.html
http://www.avira.com/de/threats/section/fulldetails/id_vir/2855/worm_sdbot.41906.html

weiter Windows-Firewall/ICS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
"Start"=dword:00000002






virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam