bootini.exe

startseite Gastbuch Kontakt
bootini.exe
bootini.exe

bootini.exe

W32/Vanebot-K - bootini.exe





W32/Rbot-FMN ist ein Wurm, der sich auf remote Netzwerkfreigaben verbreitet. Er hat Backdoor-Funktionalität und ermöglicht über IRC-Kanäle unbefugten remoten Zugriff auf den infizierten Computer, während er im Hintergrund als Dienstprozess ausgeführt wird.

W32/Rbot-FMN verbreitet sich auf Netzwerkfreigaben, die durch einfache Kennwörter geschützt werden und über Sicherheits-Schwachstellen, indem das Backdoor-Element von einem remoten Angreifer den entsprechenden Befehl erhält.

Auf der Website von Microsoft steht das folgende Patch für die von W32/Rbot-FMN ausgenutzte Schwachstelle zur Verfügung: http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx


Combofix

C:\WINDOWS\system32\76325_netapi.exe

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Microsoft Windows"="bootini.exe"

---------------------------------------------------

datfindbat

Directory of C:\WINDOWS\system32
22-10-2006 14:47 120.320 76325_netapi.exe


HijackThis

Running processes:

C:\WINDOWS\System32\bootini.exe
F2 - REG:system.ini: Shell=Explorer.exe bootini.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,bootini.exe
O4 - HKLM\..\Run: [Microsoft Windows] bootini.exe
O4 - HKCU\..\Run: [Microsoft Windows] bootini.exe



avenger

Files to delete:
C:\WINDOWS\System32\bootini.exe
C:\WINDOWS\system32\76325_netapi.exe


delete - bootini.exe

bootini.exe

rechtsklick - löschen

bootini.exe


gehe in die Registry - Start - Ausführen - regedit

bearbeiten - suchen - bootini.exe

bootini.exe

bootini.exe


Modify
bootini.exe

Explorer.exe bootini.exe - Modify - nur bootini.exe rauslöschen

C:\Windows\System32\userinit.exe,bootini.exe - Modify - nur bootini.exe rauslöschen

bootini.exe

HKCU\Software\Microsoft\OLE
Microsoft Windows -> löschen
bootini.exe -> löschen

PC neustarten


multiavtool

scan mit Sophos

'W32/Vanebot-K' found in file C:\avenger\backup.zip\avenger/76325_netapi.exe
'W32/Vanebot-K' found in file C:\avenger\backup.zip\avenger/76325_netae
'W32/Vanebot-K' found in file C:\avenger\backup.zip\avenger/bootini.exe
Removal successful


die Internetverbindung wurde umgeleitet: - mit Hijackthis fixen

O17 - HKLM\System\CCS\Services\Tcpip\..\{A7CD14CC-3CC9-4A2E-A06C-3E77FF573425}: NameServer = 219.76.66.69,219.76.99.71

addresses 219.76.66.69

Registrant:
PCCW-HKT DataCom Services Limited
39/F PCCW Tower, Taikoo Place
979 King's Rd
Quarry Bay, Hong Kong 0
HK


registry_stuff


Firewall (XP)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start"=dword:00000004 - ist deaktiviert

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"DisplayName"="Remote Registry"
"ErrorControl"=dword:00000001
"ObjectName"="NT AUTHORITY\\LocalService"
"Group"=""
"Start"=dword:00000004 ist deaktiviert
"Type"=dword:00000020


Security Center ist deaktiviert (Ab XP SP2)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=dword:00000004


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Type"=dword:00000010
"Start"=dword:00000004 - ist deaktiviert - dword:00000002 bedeutet "manuell"
"ErrorControl"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=dword:00000001
"DoNotAllowXPSP3"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000001
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001


Start - Ausführen - services.msc

services.msc

Remote Registry - disabled

Remote Registry - disabled

Disabled

Disabled


Telnet - disabled (Rechtsklick: Eigenschaften)

Der Registry-Eintrag zum Deaktivieren lautet wie folgt:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=dword:00000004

TlntSvr - dword:00000004


2.Reiter - Log On - Disable - Apply (bestätigen, unten rechts klicken) -

Apply


gehe in die Registry - Start - Ausführen - regedit

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM
N - in Y ändern

EnableDCOM


Y = Die DCOM-Unterstützung ist aktiviert.

DCOM-Unterstützung ist aktiviert DCOM-Unterstützung ist aktiviert


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=dword:00000001 - in 0 ändern
"DoNotAllowXPSP3"=dword:00000001 - in 0 ändern

WindowsUpdate


W32/Rbot kann den folgenden Registrierungseintrag ändern, um die anonyme Aufzählung von SAM-Konten einzuschränken:

Ob Null Sessions auf dem System zugelassen sind, können Administratoren in der Registry festlegen

- RestrictAnonymous = "Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben (nicht) erlauben"
- RestrictAnonymousSAM = "Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten (nicht) erlauben"

- RestrictAnonymousSAM = 1 RestrictAnonymous regelt die Auflistung von Freigaben

- Sog. NullSessions (net use \\rechner\ipc$) erlauben über TCP-Port 139 den Zugriff auf Windows Rechner. Dadurch können Listen der User/Gruppen, Namen, Eventlog (Application sowie Systemlog) eingesehen werden.


0 - Keine Standardberechtigungen verwenden.
1 - Aufzählung von SAM-Konten und -Namen nicht zulassen.
2 - Kein Zugriff ohne explizite anonyme Berechtigung.


Wenn Sie diesen Wert auf 1 setzen, können sich Rechner nicht mehr mit Freigaben dieses Rechners verbinden, ohne sich mit einen gültigen Account anzumelden.


Sofern diese Werte auf 1 gesetzt sind, sind keine anonymen Zugriffe möglich.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

Bei Windows NT sollte der Registry-Schlüssel HKLM\SYSTEM\Current ControlSet\Control\LSA\RestrictAnonymous auf 1 gesetzt werden.

"restrictanonymous"=dword:00000000 - in 1 ändern
"restrictanonymoussam"=dword:00000001


Alternativ lassen sich die Einstellungen auch in den lokalen Sicherheitsrichtlinien (/Programme/Verwaltung/) unter den Punkten /Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen kontrollieren. Anonyme Aufzählung von SAM-Konten nicht erlauben sowie Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben sollten auf "Aktiviert" stehen.

Microsoft Security Bulletin MS05-039
Sicherheitsanfälligkeit in Plug-and-Play kann Remotecodeausführung und Erhöhung von Berechtigungen ermöglichen

http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms05-039.mspx
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.spybot.won.html
http://www.avira.com/de/threats/section/fulldetails/id_vir/2855/worm_sdbot.41906.html


Windows-Firewall/ICS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess]
"Start"=dword:00000002


virus-protect.org Valid HTML 4.0 Ranking-Hits