Worm Braban
|
Worm Braban, msnmsgr.exe, Xinstall.exe
....gibt es einen neuen Wurm, der sich über den Instant-Messenger MSN verbreitet.
Der Wurm sendet Textnachrichten mit einem Link an Anwender, die in der Kontaktliste des
installierten MSN-Messengers stehen. Sobald der Anwender diesen Link anklickt, wird der Wurm auf das betroffene System mittels einer HTTP-GET-Anfrage geladen und ausgeführt. Der Wurm benennt die Originaldatei "MSNMSGR.EXE" um und kopiert sich an dessen Stelle.
Sobald die Verbindung hergestellt ist wird eine weitere Liste mit Servern abgerufen.
Hierdurch werden Hintertürfunktionen bereitgestellt. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.
Möglichkeiten der Fernkontrolle:
Datei herunterladen Besuch einer Webseite
Die folgende Datei wird umbenannt:
PROGRAM FILES%\MSN Messenger\msnmsgr.exe nach %PROGRAM FILES%\MSN Messenger\msnm.exe
HijackTHis
O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\%Username%\Xinstall.exe O4 - HKLM\..\Run: [explorer] C:\xinstall.exe
eine Nachricht bei msn bekommen:
"Zitat" : kaum habe ich die datei geöffnet, öffnen sich bei msn alle fenster
mit den kontakten und automatisch wird der text weiter verschickt. dies wiederholt sich
regelmäßig ca. alle 5min. weiterhin öffnet sich eine niederländische website
Dr.Web
[Scanner un chemin] C:\Documents and Settings\User\Xinstall.exe C:\Documents and Settings\User\Xinstall.exe probablement infecté par DLOADER.Trojan C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\WLU30HQN\Xinstall[1].exe -> Heuristic.Win32.Morphine-Crypted C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.lE5\2OM9EH86\mtrslib2[1].js - JS/Small.AG C:\Documents and Settings\User\Local Settings\Temp\installer.exe - DR/Dyfuca.db.2 - Dropper.PurityScan.q C:\MSN\Num.exe -> Heuristic.Win32.Dialer C:\Program Files\MSN Messenger\msnmsgr.exe -> Backdoor.MSNMaker.q C:\Dokumente und Einstellungen\User\Xinstall.exe C:\WINDOWS\system32\Xinstall.exe -> Heuristic.Win32.Morphine-Crypted C:\xinstall.exe -> Heuristic.Win32.Morphine anderer PC
Combofix
2006-08-12 16:48:20 20480 ( A.... ) "C:\WINDOWS\system32\spr2.exe" 2006-08-12 16:43:42 ( .D... ) "C:\Program Files\InetGet2" 2006-08-12 16:41:38 62976 ( A.... ) "C:\WINDOWS\system32\Xinstall.exe" 2006-08-12 16:41:34 ( .D... ) "C:\Program Files\ToolBar888" 2006-08-12 16:41:34 ( .D... ) "C:\Program Files\Common Files\{F46D1867-05D6-1043-1016-04100620001f}" 2006-08-12 16:41:18 32768 ( A.... ) "C:\WINDOWS\unstall.exe" 2006-08-12 16:40:28 63232 ( A.... ) "C:\WINDOWS\wsem303.dll" 2006-08-12 16:40:28 ( .D... ) "C:\Program Files\Rapvwd"
AVG Antispyware
C:\WINDOWS\Titan Poker setup.exe -> Adware.Casino C:\WINDOWS\Downloaded Program Files\amm06.ocx -> Adware.MediaMotor C:\WINDOWS\unstall.exe -> Adware.MediaMotor C:\WINDOWS\mtuninst.exe -> Adware.MediaTickets C:\Program Files\MSN Messenger\msnmsgr.exe -> Backdoor.MSNMaker.q C:\Documents and Settings\Modern Electronics\Bureaublad\Xinstall.exe -> Heuristic.Win32.Morphine-Crypted C:\Documents and Settings\Modern Electronics\Local Settings\Temporary Internet Files\Content.IE5\SHQFC12R\Xinstall[1].exe -> Heuristic.Win32.Morphine-Crypted C:\WINDOWS\system32\Xinstall.exe -> Heuristic.Win32.Morphine-Crypted C:\xinstall.exe -> Heuristic.Win32.Morphine-Crypted C:\WINDOWS\Downloaded Program Files\speedtest2.dll
HijackTHis
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll Xinstall.exe Complete scanning result of "xinstall.exe", received in VirusTotal AntiVir 6.35.1.3 08.20.2006 HEUR/Crypted.Modified Avast 4.7.844.0 08.18.2006 Win32:Agent-AEH AVG 386 08.18.2006 May be infected by unknown virus .MPH BitDefender 7.2 08.20.2006 Dropped:Trojan.Downloader.Purityscan.U CAT-QuickHeal 8.00 08.18.2006 (Suspicious) - DNAScan ClamAV devel-20060426 08.20.2006 no virus found DrWeb 4.33 08.20.2006 DLOADER.Trojan Ewido 4.0 08.20.2006 Heuristic.Win32.Morphine-Crypted Fortinet 2.77.0.0 08.20.2006 W32/NewThreat!Morphine F-Prot4 4.2.1.29 08.19.2006 Possibly a new unknown PE_Virus!Maximus Kaspersky 4.0.2.24 08.20.2006 Trojan-Dropper.Win32.PurityScan.m McAfee 4832 08.18.2006 New Malware.h NOD32v2 1.1716 08.20.2006 a variant of Win32/TrojanDropper.PurityScan Norman 5.90.23 08.18.2006 W32/Suspicious_N.gen C:\Documents and Settings\%Username%\Local Settings\Temporary Internet Files\Content.lE5\2OM9EH86\mtrslib2[1].js C:\Documents and Settings\%Username%\Local Settings\Temp\installer.exe C:\Documents and Settings\%Username%\Xinstall.exe C:\Documents and Settings\%Username%\girl7232.PIF C:\WINDOWS\Downloaded Program Files\speedtest2.dll C:\WINDOWS\Downloaded Program Files\amm06.ocx C:\Program Files\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\Xinstall.exe C:\Xinstall.exe anderer PC
datfindbat
Verzeichnis von C:\DOKUME~1\%Username%\LOKALE~1\Temp 27.08.2006 16:26 9.292.400 EADD.exe 27.08.2006 16:25 0 EADD.tmp 27.08.2006 13:57 9.292.400 EADC.exe 27.08.2006 13:56 0 EADC.tmp 25.08.2006 13:26 9.292.400 EADB.exe 25.08.2006 13:26 0 EADB.tmp 24.08.2006 13:25 9.292.400 EADA.exe 24.08.2006 13:25 0 EADA.tmp Verzeichnis von C:\WINDOWS\Prefetch 27.08.2006 22:11 10.140 XINSTALL.EXE-0F3D0F51.pf 27.08.2006 22:10 10.140 XINSTALL.EXE-1E25F84E.pf 27.08.2006 20:16 51.336 MSNMSGR.EXE-091111D0.pf 27.08.2006 20:16 37.620 MSN.EXE-26301106.pf 27.08.2006 20:15 23.154 GOGOGO.EXE-02B1230B.pf 27.08.2006 20:15 35.096 MSMSGS.EXE-32066BA5.pf 27.08.2006 20:15 26.828 GIRL7232.PIF-2B30A400.pf
Families Cleaned by the Malicious Software Removal Tool -
Removal Tool
anderer PC (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))) C:\Program Files\ToolBar888 C:\Program Files\Fichiers communs\{D0533078-0A70-2060-0911-020816020160}
AVG Antispyware
HKLM\SOFTWARE\Classes\HTMLEdit.ViewSource -> Adware.CoolWebSearch HKLM\SOFTWARE\Classes\HTMLEdit.ViewSource.1 -> Adware.CoolWebSearch HKLM\SOFTWARE\Classes\HTMLEdit.ViewSource\CLSID -> Adware.CoolWebSearch HKLM\SOFTWARE\Classes\HTMLEdit.ViewSource\CurVer -> Adware.CoolWebSearch C:\WINDOWS\Downloaded Program Files\amm06.ocx -> Adware.MediaMotor C:\WINDOWS\Downloaded Program Files\imloader.exe -> Not-A-Virus.Downloader.Win32.ImLoader.c C:\WINDOWS\Downloaded Program Files\speedtest2.dll -> Not-A-Virus.Downloader.Win32.InsTool.a C:\Documents and Settings\%Username%\Xinstall.exe C:\Documents and Settings\%Username%\Local Settings\Temp\installer.exe anderer PC
Combofix
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))) C:\Programme\ToolBar888 C:\Programme\Gemeinsame Dateien\{245274B2-0A1B-1031-0524-040406180031}
datfindbat
Verzeichnis von C:\DOKUME~1\%Username%\LOKALE~1\Temp 03.09.2006 12:16 54.784 installer.exe Verzeichnis von C:\WINDOWS\system32 29.08.2006 17:58 124.688 MSWINSCK.OCX
Avenger (Beispiel)
AVG Antispyware
C:\avenger\backup.zip/avenger/installer.exe -> Dropper.PurityScan.q C:\avenger\backup.zip/avenger/Xinstall.exe -> Heuristic.Win32.Morphine-Crypted C:\Dokumente und Einstellungen\%Username%\mt-uninstaller.exe -> Adware.PurityScan anderer PC
HijackTHis
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\Thomas\Desktop\Xinstall.exe O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll C:\Dokumente und Einstellungen\%Username%\Desktop\Neuer Ordner (3)\Xinstall.exe Verzeichnis von C:\WINDOWS\Downloaded Program Files 02.09.2006 17:36 205.264 speedtest2.dll anderer PC Verzeichnis von C:\Dokumente und Einstellungen\%Username% 02.09.2006 18:34 138.862 alfa.exe C:\Dokumente und Einstellungen\%Username%\Desktop\ Verzeichnis von C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp 02.09.2006 17:11 158.381 b122.exe C:\Programme\ipwins 27.07.2006 10:14 128.512 ipwins.exe 27.07.2006 10:14 4.608 Services.dll 02.09.2006 17:11 34.718 Uninst.exe anderer PC http:/photos.ofre.nl/photo3321.PIF ->Virus erschien auf meinem windows desktop 2 dateien sprdu.exe alfa.exe Verzeichnis von C:\WINDOWS\system32 03.09.2006 12:02 138.862 alfa.exe 03.09.2006 12:02 20.480 sprdu.exe
AVG Antispyware
C:\Programme\MSN Messenger\msnmsgr.exe -> Worm.Braban.h anderer PC
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als
fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen
C:\WINDOWS\System32\explore.exe C:\Dokumente und Einstellungen\%Username%\Desktop\Xinstall.exe C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OZQVQ5IX\Xinstall[1].exe -> Heuristic.Win32.Morphine-Crypted C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OZQVQ5IX\Xinstall[2].exe -> Heuristic.Win32.Morphine-Crypted C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OZQVQ5IX\photo3321[1].PIF -> Worm.Braban.g C:\Programme\MSN Messenger\msnmsgr.exe -> Worm.Braban.g
HijackTHis
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O23 - Service: MSDN Driver (msdndr) - Unknown owner - C:\WINDOWS\System32\msdndr.pif anderer PC Verzeichnis von C:\WINDOWS\system32 06-09-09 00:20 20,480 sprdu.exe 06-09-09 00:20 138,862 alfa.exe Verzeichnis von C:\DOKUME~1\%Username%\LOKALE~1\Temp 06-09-09 12:37 207,596 b124.exe
Combofix
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))) C:\tool2.exe C:\Programme\ToolBar888 C:\Programme\Gemeinsame Dateien\{A451AEFD-0BC6-1031-0102-060304040031} C:\Programme\ToolBar888 C:\Programme\Gemeinsame Dateien\{A451AEFD-0BC6-1031-0102-060304040031} C:\Programme\Inetget2 C:\Programme\Gemeinsame Dateien\{A451AEFD-0BC6-1031-0102-060304040001}
Avenger (Beispiel)
anderer PC C:\WINDOWS\system32\Xinstall.exe C:\Dokumente und Einstellungen\%Username%\Xinstall.exe [FUND] Ist das Trojanische Pferd TR/Drop.PurityScan.M.7 C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\glilpha8.default\Cache\D6AB5758d01 [FUND] Enthält Signatur des Wurmes WORM/Braban.I C:\WINDOWS\Downloaded Program Files\speedtest2.dll C:\Programme\Gemeinsame Dateien\{F82E3674-07DA-1031-1021-050518050029}\Update.exe C:\Programme\ipwins anderer PC C:\WINDOWS\system32\sprdu.exe C:\Dokumente und Einstellungen\%Username%\sprdu.exe C:\Programme\Gemeinsame Dateien\{30D2833E-0BB6-2055-0217-050501130029}\Update.exe anderer PC
HijackThis
C:\WINNT\system32\Xinstall.exe C:\Programme\MSN Messenger\msnh.exe O4 - HKLM\..\Run: [explorer] C:\WINNT\system32\Xinstall.exe
Combofix
((((((((((((((((((((((((((((((( Files Created from 2006-08-11 to 2006-09-11 )))))))))))))))))))))))))))))))))) 2006-09-11 01:57 16,384 --a------ C:\sprdu.exe 2006-09-11 01:57 138,434 --a------ C:\WINNT\system32\alfa.exe 2006-09-11 01:57 138,434 --a------ C:\alfa.exe 2006-09-11 00:19 63,488 --a------ C:\Xinstall.exe 2006-09-10 23:58 95,024 --a------ C:\WINNT\system32\cryptdlg.dll 2006-09-10 23:58 63,488 --a------ C:\WINNT\system32\Xinstall.exe 2006-09-10 23:58 553,232 --a------ C:\WINNT\system32\comctl32.dll 2006-09-10 23:58 249,616 --a------ C:\WINNT\system32\msieftp.dll 2006-09-10 23:58 236,544 --a------ C:\WINNT\system32\ieakui.dll 2006-09-10 23:58 18,704 --a------ C:\WINNT\system32\sendmail.dll 2006-09-10 23:58 14,608 --a------ C:\WINNT\system32\corpol.dll 2006-09-10 23:58 126,736 --a------ C:\WINNT\system32\ieakeng.dll 2006-09-10 23:58 111,376 --a------ C:\WINNT\system32\ieaksie.dll 2006-09-10 23:54 16,384 --a------ C:\WINNT\system32\sprdu.exe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-10 23:57 -------- d-------- C:\Programme\Gemeinsame Dateien\System 2006-09-10 23:43 -------- d-a------ C:\Programme\Gemeinsame Dateien 2006-09-10 22:47 60416 --a------ C:\WINNT\system32\drivers\dm^uvymu.sys
datfindbat
Verzeichnis von C:\WINNT\system32 11.09.2006 10:49 138'434 alfa.exe 11.09.2006 10:49 16'384 sprdu.exe 11.09.2006 10:49 63'488 Xinstall.exe Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp 11.09.2006 01:57 54'784 installer.exe Verzeichnis von C:\ 11.09.2006 10:49 138'434 alfa.exe 11.09.2006 10:49 16'384 sprdu.exe 11.09.2006 00:19 63'488 Xinstall.exe 30.06.2006 18:58 4 timestmp.tmp
anderer PC C:\Dokumente und Einstellungen\Username\Anwendungsdaten\Opera\Opera 9 Beta\profile\cache4\temporary_download\photo223.PIF C:\Programme\ToolBar888 C:\Programme\ipwins C:\Programme\Gemeinsame Dateien\{D0C4A63E-044E-1031-1021-040530030031} C:\Dokumente und Einstellungen\Username\Xinstall.exe C:\WINDOWS\system32\Xinstall.exe C:\WINDOWS\Downloaded Program Files\speedtest2.dll anderer PC datfindbat Verzeichnis von C:\WINDOWS\system32 10.09.2006 23:09 12.288 spren.exe 10.09.2006 22:40 63.488 Xinstall.exe 10.09.2006 22:40 138.862 alfa.exe 10.09.2006 22:40 16.384 sprdu.exe Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 10.09.2006 23:23 54.784 installer.exe - Droppers DR/Dyfuca.db.2
Combofix
((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\ToolBar888 C:\Programme\Gemeinsame Dateien\{684B961F-0847-1031-0909-030916030031} ((((((((((((((((((((((((((((((( Files Created from 2006-08-10 to 2006-09-10 )))))))))))))))))))))))))))))))))) 2006-09-10 22:35 12,288 --a------ C:\WINDOWS\system32\spren.exe 2006-09-10 21:55 63,488 --a------ C:\WINDOWS\system32\Xinstall.exe 2006-09-10 21:55 16,384 --a------ C:\WINDOWS\system32\sprdu.exe 2006-09-10 21:55 138,862 --a------ C:\WINDOWS\system32\alfa.exe
Avenger
anderer PC
HijackTHis
O4 - HKLM\..\Run: [explorer] D:\Programme\FRITZ!DSL\Xinstall.exe D:\Programme\FRITZ!DSL\Xinstall.exe C:\WINDOWS\Downloaded Program Files\speedtest2.dll C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01MBOPMF\speedtest2[1].dll C:\Programme\Gemeinsame Dateien\{0012FB4E-0A2D-1031-0528-030418030031} C:\Programme\ToolBar888 Verzeichnis von C:\WINDOWS\system32 10.09.2006 23:27 63.488 Xinstall.exe 10.09.2006 23:27 138.862 alfa.exe 10.09.2006 23:27 16.384 sprdu.exe 10.09.2006 23:08 12.288 spren.exe anderer PC
HijackTHis
O4 - HKLM\..\Run: [explorer] C:\PROGRA~1\MOZILL~1\Xinstall.exe O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll
Combofix
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\Inetget2 C:\Programme\ToolBar888 C:\Programme\Gemeinsame Dateien\{1E5318FD-063F-1031-0715-040304040031}
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf
dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. -->
die listen.bat doppelt klicken--> kopiere den Text, der erscheint
Verzeichnis von C:\Programme\Mozilla Firefox 11.09.2006 19:18 138.862 alfa.exe 11.09.2006 19:18 16.384 sprdu.exe 11.09.2006 19:18 63.488 Xinstall.exe anderer PC 10.09.2006 21:25 16.384 sprdu.exe 10.09.2006 21:25 138.862 alfa.exe 10.09.2006 21:25 63.488 Xinstall.exe C:\WINDOWS\Downloaded Program Files 11.09.2006 14:17 205.264 speedtest2.dll Verzeichnis von C:\WINDOWS\Downloaded Program Files 11.09.2006 19:19 205.264 speedtest2.dll
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx C:\WINDOWS\YAXUninst.exe |
