ibm00001.exe, ibm00007, ibm00001.dll, ibm00008, ibm00002, ibm00013

ibm00001.exe, ibm00007, ibm00001.dll, ibm00008, ibm00002, ibm00013

- zur Startseite
- Sicherheitsforum: http://board.protecus.de


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

cd\ dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt notepad files.txt

ergibt:

Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E479-4804 Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web 29.12.2005 22:58 71.680 ibm00003.dll 29.12.2005 22:58 53.760 ibm00004.dll 7 Datei(en) 1.784.625 Bytes 4 Verzeichnis(se), 2.733.654.016 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E479-4804 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

F2 - REG:system.ini: Shell=explorer.exe
"C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
"C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\sysvcs.exe
O4 - HKCU\..\Run: [klop] C:\WINDOWS\16.tmp
O20 - Winlogon Notify: OfficeUpdate - C:\WINDOWS\system32\l6p20g7oe6.dll - l2mfix anwenden

Troj/Torpig-B

C:\WINDOWS\system32\service\dll.dll
C:\WINDOWS\system32\service\dllp.txt
C:\WINDOWS\system32\service\explorer.exe

Start --> Ausführen --> regedit

HKCU\Software\Microsoft\Windows\CurrentVersion\pwd
HKCU\Software\Microsoft\Windows\CurrentVersion\gnum
HKCU\Software\Microsoft\Windows\CurrentVersion\myID2

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
explorer "System\service\explorer.exe"

Troj/Torpig-D

System\..\temp:
ibm00000.exe
ibm00001.dll
ibm00001.exe
ibm00002.dll
tmp.tmp

Common Files\Microsoft Shared\Web Folders\ibm00001.dll (detected as Troj/Torpig-J)
Common Files\Microsoft Shared\Web Folders\ibm00001.exe (detected as Troj/Torpig-J)
Common Files\Microsoft Shared\Web Folders\ibm00002.dll (detected as Troj/Torpig-J)
Common Files\Microsoft Shared\Web Folders\tmp.tmp

AVG Antispyware

C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.dll -> Trojan.Sinowal.a : Cleaned with backup
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe -> Logger.Small.dg : Cleaned with backup
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Cleaned with backup

anderer PC

Hijackthis

R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"

datfindbat

Verzeichnis von C:\WINDOWS\system32

24.12.2005 17:11 36.864 intercept.dll
24.12.2005 15:22 6.652 scmt16.exe

Verzeichnis von C:\WINDOWS

24.12.2005 17:11 36.864 intercept.dll
24.12.2005 15:23 3.087 secure32.html
24.12.2005 15:22 61.726 kl.exe
24.12.2005 15:22 0 uniq

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00000.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\tmp.tmp
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.exe

C:\WINDOWS\system32\service\dll.dll
C:\WINDOWS\system32\service\dllp.txt
C:\WINDOWS\system32\service\explorer.exe

Killbox Beispiel)

C:\WINDOWS\system32\nvapps.xml
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00000.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\tmp.tmp
C:\WINDOWS\system32\intercept.dll
C:\WINDOWS\system32\scmt16.exe
C:\WINDOWS\intercept.dll
C:\WINDOWS\secure32.html
C:\WINDOWS\kl.exe
C:\WINDOWS\uniq

anderer PC

Hijackthis

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"

* Trojan-Dropper.Win32.Small.aek
* Trojan-PSW.Win32.Small.ak
* Trojan-PSW.Win32.Agent.bu

ibm00000.exe
ibm00001.dll
ibm00001.exe
ibm00002.dll
tmp.tmp

Common Files>\Microsoft Shared\Web Folders\ibm00001.dll (detected as Troj/Torpig-J)
Common Files>\Microsoft Shared\Web Folders\ibm00001.exe (detected as Troj/Torpig-J)
Common Files>\Microsoft Shared\Web Folders\ibm00002.dll (detected as Troj/Torpig-J)

The following registry entry is created to run ibm00001.exe on startup:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Shell
path to ibm00001.exe

* The following registry entry is changed to run ibm00001.exe on startup:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
explorer.exe "path to ibm00001.exe"

(the default value for this registry entry is "Explorer.exe" which causes the Microsoft file Windows folder\Explorer.exe to be run on startup).

An entry may be added to the file SYSTEM.INI in the "boot" section with a key name of "shell" to attempt to run ibm00001.exe on startup.

Troj/Torpig-J attempts to steal passwords, as well as logging keypresses and open window titles to text files and periodically sends the collected information to a remote user via HTTP.

Troj/Torpig-J automatically closes security warning messages displayed by common anti-virus and security related applications

The following registry entry is created to run ibm00001.exe on startup:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Shell path to ibm00001.exe

The following registry entry may be created to run ibm00001.exe on startup:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell explorer.exe "path to ibm00001.exe"

An entry may be added to the file SYSTEM.INI in the "boot" section with a key name of "shell" to attempt to run ibm00001.exe on startup.

Sobald Troj/Torpig-I gestartet wird, werden einige oder alle der folgenden Dateien entweder im Ordner C:\Programme\Common Files\Microsoft Shared\Web Folders oder im Ordner System\..\temp: erstellt:

ibm00001.dll
ibm00001.exe
ibm00002.dll

Der Trojaner versucht, Kennwörter zu stehlen sowie Tastenfolgen und Titel offener Fenster in Textdateien zu speichern. Er sendet regelmäßig die gesammelten Daten an einen remoten Anwender über HTTP.

Troj/Torpig-I schließt automatisch Sicherheitswarnungen, die von üblichen Antiviren- und Sicherheitsanwendungen angezeigt werden.

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Old value:
"Shell"="Explorer.exe"

New value:
"Shell"="explorer.exe%empty spaces%\"%PROGRAM FILES%\Common Files\\Microsoft Shared\\Web Folders\\ibm00001.exe\""

ibm00001.exe und die ibm0000(1)/(2).dll

PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll
PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll
PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe

anderer PC

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

cd\ dir "C:\Programme\Gemeinsame Dateien\Windows" >> files.txt dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt notepad files.txt

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00010.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00013.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00014.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00015.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00015.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00016.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00017.exe

HijackThis

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00015.exe"

anderer PC

HijackThis

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00007.exe"

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\ dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >>files.txt notepad files.txt

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00006.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00007.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00007.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00008.dll