Trojaner-Board - Norton Internet-Security von Virus deaktiert ?

Habe den "Saubär" indentifiziert.
Ich weiss zwar immer noch nicht wie er den NAV überlisten konnte, aber alles andere passt.......[/b]
Bezeichnung Name Typ Schaden
Bagle.DC Win32.Bagle.DC@mm Email-Wurm Mittel
Entdeckt Ermittelt Größe Verbreitung Noch unterwegs
20.09.2005 20.09.2005 etwa 35 kb gering Ja
Andere Namen
Win32.Bagle.dg Email-Wurm.Win32.Bagle.dc Troj/BagleDl-U Troj/BagleDl-V

virenschutz ,virenscanner
Symptome:
Notepad ist geöffnet.
- Präsenz folgender Dateien im %SYSTEM% Ordner:
winshost.exe (35 kb)
wiwshost.exe (8 kb)
- Präsent folgender Dateien im %WINDOWS% Ordner:
firewall_anti.exe (90 kb)
firewall_anti.exe.dll (77 kb)
- Präsenz eines der folgenden Registry Keys oder Entries:
[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun]
"winshost.exe"="%SYSTEM%winshost.exe"
[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun]
"firewall_anti"="%WINDOWS%firewall_anti.exe"
[HKEY_CURRENT_USERSoftwareFirstRun]
"FirstRunRR"=dword:00000001

wo %WINDOWS% auf den WINDOWS Ordner (oder WinNT bei auf Windows NT basierenden Systemen) weist
%SYSTEM% weist auf den "System" Ordner bei Windows 9x Systemen und "System32" Ordner bei WinNT Systemen.

Technische Beschreibung:

Der Virus kommt als gezippte Exe Datei eines Email Anhangs.
Die Zip Datei ist ca. 17 kb groß und enthält eine Exe mit ca. 35 kb.
Er besteht aus 5 Komponenten, hauptsächlich Trojaner, Downloader und Dropper.
winshost.exe (~35 kb) - dropper 1
wiwshost.exe (~8 kb) - trojan/downloader 1
osa6.gif (~2 kb) - downloader 2
firewall_anti.exe (~95 kb) - dropper 2
firewall_anti.exe.dll (~70 kb) - trojan

Grundsätzlich erschafft und führt der Virus Dropper, wenn er läuft, den Trojaner aus, der in den Explorer eingebettet wird. Als nächstes versuchte er eine Datei auszuführen von einer Reihe von ferngesteuerten Servern, verhindert verschiedene Dienste und Anwendungen, die mit der Sicherheit zusammen hängen. Er schafft/überschreibt die Host Datei mit einer Default Datei. Er startet die neu herunter geladene Datei, die eine andere Datei runter lädt, die ein Dropper ist und einen Trojaner erschafft/ausführt, der AV Seiten blockt.
Anmerkung: Weil einige der Viruskomponenten unabhängig sind, werden sie eventuell aktualisiert und ihre Aktionen und Größen können leicht variieren.

Einmal in Betrieb, macht der Virus (Dropper) folgendes:
1. Erschafft die vorher genannten Keys und Dateien, die in den Symptomen genannt werden.
2. Er legt die wiwshost.exe im Explorer ab (die der erste Downloader ist)

Sobald wiwshost.exe (der Trojaner/Downloader) läuft, macht er folgendes :
1. Er entfernt die folgenden Registry Keys/Entries:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"Symantec NetDriver Monitor"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"ccApp"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"NAV CfgWiz"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"SSC_UserPrompt"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"McAfee Guardian"
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun"McAfee.InstantUpdate.Monitor"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"APVXDWIN"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"KAV50"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"avg7_cc"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"avg7_emc"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"Zone Labs Client
HKLMSOFTWARESymantec
HKLMSOFTWAREMcAfee
HKLMSOFTWAREKasperskyLab
HKLMSOFTWAREAgnitum
HKLMSOFTWAREPanda Software
HKLMSOFTWAREZone Labs
2. Er macht folgende Dienste funktionsunfähig:
wuauserv PAVSRV PAVFNSVR PSIMSVC Pavkre PavProt PREVSRV PavPrSrv SharedAccess navapsvc NPFMntor Outpost Firewall SAVScan SBService Symantec Core LC ccEvtMgr SNDSrvc ccPwdSvc ccSetMgr.exe SPBBCSvc KLBLMain avg7alrt avg7updsvc vsmon CAISafe avpcc fsbwsys backweb client - 4476822 backweb client-4476822 fsdfwd F-Secure Gatekeeper Handler Starter FSMA KAVMonitorService navapsvc NProtectService Norton Antivirus Server VexiraAntivirus dvpinit dvpapi schscnt BackWeb Client - 7681197 F-Secure Gatekeeper Handler Starter FSMA AVPCC KAVMonitorService Norman NJeeves NVCScheduler nvcoas Norman ZANDA PASSRV SweepNet SWEEPSRV.SYS NOD32ControlCenter NOD32Service PCCPFW Tmntsrv AvxIni XCOMM ravmon8 SmcService BlackICE PersFW McAfee Firewall OutpostFirewall NWService alerter sharedaccess NISUM NISSERV vsmon nwclnth nwclntg nwclnte nwclntf nwclntd nwclntc wuauserv navapsvc Symantec Core LC SAVScan kavsvc DefWatch Symantec AntiVirus Client NSCTOP Symantec Core LC SAVScan SAVFMSE ccEvtMgr navapsvc ccSetMgr VisNetic AntiVirus Plug-in McShield AlertManger McAfeeFramework AVExch32Service AVUPDService McTaskManager Network Associates Log Service Outbreak Manager MCVSRte mcupdmgr.exe AvgServ AvgCore AvgFsh awhost32 Ahnlab task Scheduler MonSvcNT V3MonNT V3MonSvc FSDFWD
3. Er schafft einen Thread, der die Ausführung dieser Anwendungen beendet:
NUPGRADE.EXE MCUPDATE.EXE ATUPDATER.EXE AUPDATE.EXE AUTOTRACE.EXE AUTOUPDATE.EXE FIREWALL.EXE ATUPDATER.EXE LUALL.EXE DRWEBUPW.EXE AUTODOWN.EXE NUPGRADE.EXE OUTPOST.EXE ICSSUPPNT.EXE ICSUPP95.EXE ESCANH95.EXE AVXQUAR.EXE ESCANHNT.EXE UPGRADER.EXE AVXQUAR.EXE AVWUPD32.EXE AVPUPD.EXE CFIAUDIT.EXE UPDATE.EXE
4. Er benennt die Namen folgender Dateien um:
mysuperprog.exe CCSETMGR.EXE CCEVTMGR.EXE NAVAPSVC.EXE NPFMNTOR.EXE symlcsvc.exe SPBBCSvc.exe SNDSrvc.exe ccApp.exe ccl30.dll ccvrtrst.dll LUALL.EXE AUPDATE.EXE Luupdate.exe LUINSDLL.DLL RuLaunch.exe CMGrdian.exe Mcshield.exe outpost.exe Avconsol.exe Vshwin32.exe VsStat.exe Avsynmgr.exe kavmm.exe Up2Date.exe KAV.exe avgcc.exe avgemc.exe PcCtlCom.exe Tmntsrv.exe TmPfw.exe zonealarm.exe zatutor.exe zlavscan.dll zlclient.exe isafe.exe cafix.exe vsvault.dll av.dll vetredir.dll CCSETMGR.EXE CCEVTMGR.EXE NAVAPSVC.EXE NPFMNTOR.EXE symlcsvc.exe SPBBCSvc.exe SNDSrvc.exe ccApp.exe ccl30.dll ccvrtrst.dll LUALL.EXE AUPDATE.EXE Luupdate.exe LUINSDLL.DLL RuLaunch.exe CMGrdian.exe Mcshield.exe outpost.exe Avconsol.exe Vshwin32.exe VsStat.exe Avsynmgr.exe kavmm.exe Up2Date.exe KAV.exe avgcc.exe avgemc.exe zonealarm.exe zatutor.exe zlavscan.dll zlclient.exe isafe.exe cafix.exe vsvault.dll av.dll vetredir.dll C1CSETMGR.EXE CC1EVTMGR.EXE NAV1APSVC.EXE NPFM1NTOR.EXE s1ymlcsvc.exe SP1BBCSvc.exe SND1Srvc.exe ccA1pp.exe cc1l30.dll ccv1rtrst.dll LUAL1L.EXE AUPD1ATE.EXE Luup1date.exe LUI1NSDLL.DLL RuLa1unch.exe CM1Grdian.exe Mcsh1ield.exe outp1ost.exe Avc1onsol.exe Vshw1in32.exe Vs1Stat.exe Av1synmgr.exe kav12mm.exe Up222Date.exe K2A2V.exe avgc3c.exe avg23emc.exe zonealarm.exe zatutor.exe zlavscan.dll zo3nealarm.exe zatu6tor.exe zl5avscan.dll zlcli6ent.exe is5a6fe.exe c6a5fix.exe vs6va5ult.dll a5v.dll ve6tre5dir.dll
5. Er versucht osa6.gif herunter zu laden und auszuführen von:
h**p://www.yannick-spruyt.be h**p://www.yayadownload.com h**p://www.yesterdays.co.za h**p://www.yesterdays.co.za h**p://www.yshkj.com h**p://www.yshkj.com h**p://www.zakazcd.dp.ua h**p://www.students.stir.ac.uk h**p://www.zenesoftware.com h**p://www.zentek.co.za h**p://www.czzm.com h**p://www.izoli.sk h**p://www.zorbas.az h**p://www.zsbersala.edu.sk h**p://www.triptonic.ch h**p://www.tv-marina.com h**p://www.travelourway.com h**p://www.megaserve.net h**p://www.trgd.dobrcz.pl h**p://www.mild.at h**p://www.mild.at h**p://www.kingsley.ch h**p://www.mild.at h**p://www.elvis-presley.ch h**p://www.gomyhome.com.tw ...
6. Er überschreibt die Host Datei
7. Er öffnet Notepad

Wenn osa6.gif ausgeführt ist, passiert dieses:
1. Er lädt herunter und führt aus die 2.jpg Datei von keysi.ru
2. Er erschafft einen Thread, der auf Port 0x3C4 lauscht.

Sobald 2.jpg ausgeführt ist, macht er dieses:
1. Er schafft eine Kopie von sich selbst.
2. Er erschafft die firewall_anti.exe.dll im %WINDOWS% Ordner, der eine Massenmailer Komponente ist
3. Er schafft den Registry Key, um beim Neustart zu laufen:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"firewall_anti.exe"="%WINDOWS%firewall_anti.exe"

Wenn firewall_anti.exe.dll läuft, macht er folgendes:
1. Der Zugang zu folgendes Seiten wird geblockt:
ftpav.ca.com pandasoftware.com pandasoftware.com clamav.net clamav.net bitdefender.com bitdefender.com ravantivirus.com ravantivirus.com drweb.ru drweb.com drweb.com antivir.de antivir.de 216.200.68.152 212.113.20.69 63.210.193.12 84.53.142.22 84.53.142.6 kaspersky.ru grisoft.com www3.ca.com viruslist.ru viruslist.com trendmicro.com symantec.com sophos.com networkassociates.com nai.com my-etrust.com mcafee.com kaspersky.ru kaspersky.com kaspersky-labs.com grisoft.com fastclick.net f-secure.com awaps.net avp.ru avp.com avp.ch windowsupdate.microsoft.com viruslist.ru viruslist.com vil.nai.com us.mcafee.com updates5.kaspersky-labs.com updates4.kaspersky-labs.com updates3.kaspersky-labs.com updates2.kaspersky-labs.com updates1.kaspersky-labs.com updates.symantec.com update.symantec.com trendmicro.com symantec.com support.microsoft.com spd.atdmt.com sophos.com service1.symantec.com securityresponse.symantec.com secure.nai.com rads.mcafee.com phx.corporate-ir.net office.microsoft.com networkassociates.com nai.com my-etrust.com msdn.microsoft.com media.fastclick.net mcafee.com mast.mcafee.com liveupdate.symantecliveupdate.com liveupdate.symantec.com kaspersky.com kaspersky-labs.com ids.kaspersky-labs.com go.microsoft.com ftp.sophos.com ftp.kasperskylab.ru ftp.f-secure.com ftp.downloads2.kaspersky-labs.com ftp.avp.ch fastclick.net f-secure.com engine.awaps.net downloads4.kaspersky-labs.com downloads3.kaspersky-labs.com downloads2.kaspersky-labs.com downloads1.kaspersky-labs.com downloads.microsoft.com downloads-us3.kaspersky-labs.com downloads-us2.kaspersky-labs.com downloads-us1.kaspersky-labs.com downloads-eu1.kaspersky-labs.com download.microsoft.com download.mcafee.com dispatch.mcafee.com customer.symantec.com clicks.atdmt.com click.atdmt.com ca.com ca.com banners.fastclick.net banner.fastclick.net awaps.net avp.ru avp.com avp.ch atdmt.com ar.atwola.com ads.fastclick.net ad.fastclick.net report.bitdefender.com upgrade.bitdefender.com ad.doubleclick.net
indem er sich selbst als Paketfilter registriert, was den Update von Sicherheitsprodukten verhindert.

[edit]
links entfernt
[/edit]