Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verschlüsselungstrojaner auf XenApp Server! (https://www.trojaner-board.de/115586-verschluesselungstrojaner-xenapp-server.html)

OliverA 22.05.2012 14:32
Verschlüsselungstrojaner auf XenApp Server!
 
Hallo,

auf einem unserer XenApp5 Servern (Windows 2008 Server) hat sich der Verschlüsselungs Trojaner ebenfalls eingenistet.

Wir benötigen daher dringen und schnell hilfe den Trojaner wieder los zu werden.
Ich kann nur hoffen das unsere anderen Server noch Clean bleiben.

Hier die Log Datei von MalwareBytes
Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.22.01

Windows Server 2008 Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.19170
Administrator :: XENAPP-2 [Administrator]

Schutz: Deaktiviert

22.05.2012 14:54:49
mbam-log-2012-05-22 (14-54-49).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 804996
Laufzeit: 24 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\Windows\system32\userinit.exe,C:\Windows\system32\0EC911D90613A2D42F73.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Da der Abgesicherte Modus noch funktioniert, nehme ich an das wir uns die "alte" Version des Virus eingefangen haben. (Info: hxxp://webcyclus.de/sie-haben-sich-mit-einem-windows-verschlusselungs-trojaner-infiziert/)
Die Funde habe ich bereinigen lassen.
Wie weiter Vorgehen? Was braucht ihr noch für Infos?
Habt ihr schon was neues herausgefunden?(scheint ja zur Zeit umzugehen das schei* ding)


Das merkwürdige ist, dass ich heute morgen einen Ähnlichen Vorfall auf einem CLient hatte. Dort hatte sich der "My Security Shield" Virus eingenistet, nachdem ein Mitarbeiter in der Frühstückspause auf einer ausländischen Seite gesurft hatte. Den Rechner konnte ich bis jetzt auch noch nicht 100% wieder säubern (aber er läuft wieder einigermaßen), da eben nun der Vorfall mit dem Xenapp Server dazugekommen ist.

Gibt es schon Hotfixes die die Sicherheitslücke schließen? Denn zur Zeit kann ich nur beten, dass unsere anderen 3 Xenapp Server nicht infiziert werden.
Bzw. wie kann ich mich vor dem Ding schützen? Anscheinend reicht schon das Surfen auf den falschen Websites um sich den Virus einzufangen?


Gruß,
Oliver


Edit: Sorry ich habe mir gerade nochmal die Checkliste durchgelesen und werde die anderen Logfiles gleich nachreichen. (Bitte verständnis, bin bisschen in Panik :D )

Und hier die GMER Log:
GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-23 07:56:11
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 QEMU_HARDDISK rev.0.10.2
Running: trmq4ry5.exe; Driver: C:\uxdyipow.sys
 
 
---- Kernel code sections - GMER 1.0.15 ----
 
?  C:\uxdyipow.sys  Das System kann die angegebene Datei nicht finden. !
 
---- EOF - GMER 1.0.15 ----
--- --- ---


DDS läuft leider nicht unter W2008.
Defogger meldet immer das ich Administrator Rechte benötige, obwohl ich mit DomainAdmin Konto angemeldet bin.

Die Achtung Lesen.txt habe ich übrigens auch im Desktop Ordner des Domänen Admin logins.

Im Anhang nun auch die OTL Logs.

So, ich konnte einen kleinen Durchbruch erlangen.

Nachdem ich die oben genannten Scans ausgeführt hatte und auf C:\ 2 Merkwürdige Dateien umbenannt hatte, führte ich einen Neustart aus. Plötzlich war der Screen nicht mehr da. Ich habe zum test die 2 Datein wieder zurück umbenannt aber immer noch kein Screen nach einem Neustart.
Da der Virus aber noch nicht weg sein konnte habe ich einen Eset OnlineScan druchgeführt und siehe da 3x trustezeb.b Trojaner gefunden.
(Log im Anhang)

Diese wurden nun entfernt, aber was ist nun weiterhin zu machen?
1.Wie kann ich weitestgehend sichergehen das das System wieder Clean ist?
2.Wie kann ich mich vor dem Virus schützen? (Nutzt er irgendeine bekannte Sicherheitslücke die durch ein Update behoben werden kann?)

Außerdem scheint sich der Trojaner auf jedem System etwas anders auszuwirken. Bei uns war lediglich der Zugriff durch den Screen gesperrt. Abgesicherter Modus funktionierte noch einwandfrei und auch verschlüsselte Daten konnte ich nicht entdecken.


Gruß,
OliverA

OliverA 24.05.2012 09:13
Gerade nochmal Malwarebytes laufen lassen und er konnte nochmal was in der Registry finden:

Zitat:
Malwarebytes Anti-Malware (Trial) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Database version: v2012.05.23.04

Windows Server 2008 Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19170
Administrator :: XENAPP-2 [administrator]

Protection: Enabled

23.05.2012 16:10:56
mbam-log-2012-05-24 (08-08-04).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 2088462
Time elapsed: 1 hour(s), 3 minute(s), 25 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Data: 1 -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|0613A2D4 (Trojan.Agent.RNSGen) -> Data: \\Fileserver\users$\administrator\AppData\Lncmh\6B5DD12A0613A2D4615E.exe -> No action taken.

Registry Data Items Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDrives (PUM.Hijack.Drives) -> Bad: (4) Good: (0) -> No action taken.

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
Der Eintrag
Zitat:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDrives
Ist von uns selbst so eingestellt und gewollt. Nach einem 3ten Scan konnte Malwarebytes nichts mehr finden.
Am interessantesten ist wohl der Eintrag
Zitat:
\\Fileserver\users$\administrator\AppData\Lncmh\6B5DD12A0613A2D4615E.exe
Der Virenscanner auf dem Fileserver Server hat auch alarm geschlagen und die Datei gelöscht. DAber keine Panik, der Virus hat sich jetzt nicht auf ein 2tes System verbreitet, er ist nur dort gelandet, da die Userprofile aller auf dem Fileserver liegen und eben dann die Viren vom Xenapp server Physikalisch auf dem Fileserver liegen.

markusg 24.05.2012 20:24
hi
hatt er dateien verschlüsselt?

OliverA 25.05.2012 08:50
Also ich habe bis jetzt nicht feststellen können, dass irgendwas verschlüsselt wurde.

markusg 25.05.2012 10:45
ok
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

OliverA 25.05.2012 12:16
The Opperation System is not Supported.
ComboFix is not meant for Servers

markusg 25.05.2012 12:42
sorry!


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
 :Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

OliverA 25.05.2012 13:00
Bitteschön.

Ich werde allerdings nochmal schaun wie der Aufwand für eine Neuinstallation zu bewerten ist. Gerade in einem Firmennetzwerk ist mit so einem Virus nicht zu spaßen.

markusg 25.05.2012 16:18
naja, wäre schon sicherer.
aber um sicher zu gehen, ein komplettes image ziehen mit true image, vllt benötigt man infos vom infizierten system.

OliverA 29.05.2012 11:01
Doch zu früh gefreut. Ich konnte nun doch ein verzeichniss finden, in der ein Haufen verschlüsselter Dateien liegen. Aber anscheinend hat er nicht das ganze System befallen. Ich hatte mich hauptsächlich auf Bilder etc. konzentriert und da war alles noch da.

Jedoch im Verzeichnis unseres ERP Programms hat er sein unheil getrieben.
Wir haben die Daten allerdings noch alle auf den anderen Servern 1:1 Vorliegen.
So wie ich das erkennen kann, sind die Dateien aber alle exakt gleich groß.
Das Erstellungsdatum der infizierten Dateien beträgt 13. Februar 1601.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131