WORM_FANBOT.A
Worm:Win32/Mytob.KH@mm (Microsoft); W32.Fanbot.A@mm (Symantec); Win32.Worm.Phantom.A (Fsecure)
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Worm
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui
Overview
Sammelt Empfänger-E-Mail-Adressen aus dem Windows Adressbuch (WAB). Nutzt unbekannte Software-Schwachstellen, um sich in Netzwerken zu verbreiten.
Verbindet sich mit IRC-Servern (Internet Relay Chat). Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus. Führt bestimmte Befehle aus, die sie extern von einem böswilligen Benutzer erhält. Dadurch sind der betroffene Computer und auf ihm gespeicherte Daten stärker gefährdet.
Ändert die HOSTS-Datei des betroffenen Systems. Dadurch können Benutzer nicht mehr auf bestimmte Websites zugreifen.
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\remote.exe
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Autostart-Technik
Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RpcRemotes
DisplayName = "Remote Procedure Call (RPC) Remote"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RpcRemotes
ImagePath = "%System%\remote.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RpcRemotes
DisplayName = "Remote Procedure Call (RPC) Remote"
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WinShell = "%System%\remote.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
WinShell = "%System%\remote.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Setup
Ph4nt0m = "Ph4nt0m"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%System%\remote.exe = '%System%\remote.exe:*:Disabled:Generic Host Process for Win32 Services"
Ändert die folgenden Registrierungseinträge:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "4"
(Note: The default value data of the said registry entry is 2.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"
(Note: The default value data of the said registry entry is 2.)
Verbreitung
Schleust Eigenkopien in die folgenden, von Peer-to-Peer-Netzwerken verwendeten Ordner ein:
- DONKEY
- DOWNLOAD
- HTDOCS
- INCOMING
- KAZAA
- MORPHEUS
- SHARE
- SHARING
- UPLOAD
Sucht nach verfügbaren SMTP-Servern durch Überprüfen der folgenden Registrierungseinträge:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts
Sammelt Empfänger-E-Mail-Adressen aus dem Windows Adressbuch (WAB).
Verhindert das Versenden von E-Mail-Nachrichten an Adressen, die diese Zeichenfolgen enthalten:
- anyone
- contact
- feste
- gold-certs
- nobody
- noone
- nothing
- postmaster
- privacy
- rating
- samples
- service
- somebody
- someone
- submit
- the.bat
- webmaster
Nutzt die folgenden Software-Schwachstellen, um sich in Netzwerken zu verbreiten:
Backdoor-Routine
Verbindet sich mit einem oder mehreren der folgenden IRC-Server:
- {BLOCKED}rl.3322.org
Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.
Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:
- Download or execute files
- Get system information
- Remove or update worm copy
- Start or terminate mass-mailing routine
Prozessbeendigung
Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- A2HIJACKFREE.EXE
- ADAM.EXE
- AGTX0404.EXE
- AGTX0411.EXE
- AGTX0804.EXE
- ALERTAST.EXE
- ALESCAN.EXE
- ALEUPDAT.EXE
- ALUNOTIFY.EXE
- ANTIVIRUS_UPDATE.EXE
- APORTS.EXE
- AUPDATE.EXE
- BACKRAV.EXE
- BLACKD.EXE
- BLACKICE.EXE
- BOTZOR.EXE
- BRONSTAB.EXE
- CCEMFLSV.EXE
- CCENTER.EXE
- CFGWIZ.EXE
- CLEANUP.EXE
- CMDAGENT.EXE
- COOLBOT.EXE
- CSM.EXE
- CSSCAN.EXE
- CVT.EXE
- DEFWATCH.EXE
- DWHWIZRD.EXE
- EGHOST.EXE
- EKSPLORASI.PIF
- FINT2005.EXE
- FRAMEWORKSERVICE.EXE
- FRMINST.EXE
- HELLMSN.SCR
- HIJACKTHIS.EXE
- HNETWIZ.EXE
- HPMANAGER.EXE
- IAMSTATS.EXE
- ICESWORD.EXE
- IDTEMPLATE.EXE
- INBUILD.EXE
- IPARMOR.EXE
- ISSVC.EXE
- JAVA.EXE
- KATMAIN.EXE
- KAV.EXE
- KAV32.EXE
- KAVDX.EXE
- KAVLOG2.EXE
- KAVPFW.EXE
- KAVPFW.EXE
- KAVSEND.EXE
- KAVSTART.EXE
- KAVSTART.EXE
- KAVSVC.EXE
- KILLBOX.EXE
- KMAILMON.EXE
- KNLPS.EXE
- KNLSC13.EXE
- KPFWSVC.EXE
- KRECYCLE.EXE
- KREGEX.EXE
- KSHRMGR.EXE
- KVCENTER.KXP
- KVDETECH.EXE
- KVDETECT.EXE
- KVDISK.KXP
- KVDOS.EXE
- KVMONXP.KXP
- KVOL.EXE
- KVOLSELF.EXE
- KVREPORT.KXP
- KVSCAN.KXP
- KVSRVXP.EXE
- KVSTORY.KXP
- KVSTUB.KXP
- KVUPLOAD.EXE
- KVWSC.EXE
- KVXP.KXP
- KWATCH.EXE
- KWATCH9X.EXE
- LANGSET.EXE
- LDVPREG.EXE
- LOGPARSER.EXE
- LRSEND.EXE
- LSETUP.EXE
- LUALL.EXE
- LUAWRAP.EXE
- LUCOMSERVER.EXE
- LUINIT.EXE
- MAKEBOOT.EXE
- MCAFFEAV.EXE
- MCCONSOL.EXE
- MCSCRIPT.EXE
- MCSCRIPT_INUSE.EXE
- MCUPDATE.EXE
- MDAC.EXE
- MOUSEBM.EXE
- MOUSEMM.EXE
- MOUSESYNC.EXE
- MSAGENT.EXE
- MSNMSGS.EXE
- MSTASK.EXE
- NAPRDMGR.EXE
- NAVUSTUB.EXE
- NDETECT.EXE
- NVCHIP4.EXE
- PATCH.EXE
- PCCBROWS.EXE
- PCCGUIDE.EXE
- PCCLIENT.EXE
- PCCLOG.EXE
- PCCMAIN.EXE
- PCCMDCOM.EXE
- PCCSPYUI.EXE
- PCCTLCOM.EXE
- PCCTOOL.EXE
- PCCVSCAN.EXE
- PER.EXE
- PFW.EXE
- PHANTOM.EXE
- PICX.EXE
- PIREG.EXE
- PM.EXE
- PROCESSEXPLORER.EXE
- RAV.EXE
- RAVDOS.EXE
- RAVHDBAK.EXE
- RAVMON.EXE
- RAVMOND.EXE
- RAVPATCH.EXE
- RAVSTORE.EXE
- RAVSTUB.EXE
- RAVTIMER.EXE
- RAVXP.EXE
- REALSCHED.EXE
- REGCLEAN.EXE
- REGGUIDE.EXE
- REGSVR32.EXE
- RESCUE.EXE
- RFW.EXE
- RFWMAIN.EXE
- RFWSRV.EXE
- RKDETECTOR.EXE
- ROOTKITREVEALER.EXE
- RSAGENT.EXE
- RSCONFIG.EXE
- RSSMS.EXE
- RTVSCAN.EXE
- RUNDLL32.EXE
- SAVROAM.EXE
- SCAN32.EXE
- SCANBD.EXE
- SCNCFG32.EXE
- SCRIGZ.EXE
- SERVCE.EXE
- SETUPWIZ.EXE
- SHCFG32.EXE
- SHSTAT.EXE
- SMARTDRV.EXE
- SMARTUP.EXE
- SMSS.EXE
- SOUNDMAN.EXE
- SYMANTECROOTINSTALLER.EXE
- SYMCLNUP.EXE
- SYSTEM.EXE
- TASKGMR.EXE
- TMNTSRV.EXE
- TMOAGENT.EXE
- TMPFW.EXE
- TMPROXY.EXE
- TRA.EXE
- TRIALMSG.EXE
- TROJANDETECTOR.EXE
- TROJANWALL.EXE
- TROJDIE.KXP
- TSC.EXE
- UNINSTALL.KXP
- UPDATE.EXE
- UPDATERUI.EXE
- UPGRADE.EXE
- VIRUSBOX.KXP
- VPC32.EXE
- VPDN_LU.EXE
- VPTRAY.EXE
- VSTSKMGR.EXE
- WINHOST.EXE
- WINLDR.EXE
- WINTBP.EXE
- WPA.EXE
- WRITECAN.EXE
- ZONEALARM.EXE
Änderung der HOSTS-Datei
Ändert die HOSTS-Datei des betroffenen Systems, damit Benutzer nicht mehr auf die folgenden Websites zugreifen können:
- avp.com
- ca.com
- customer.symantec.com
- db.kingsoft.com
- dispatch.mcafee.com
- download.mcafee.com
- f-secure.com
- iduba.net
- jiangmin.com
- kaspersky-labs.com
- kaspersky.com
- kaspersky.com.cn
- kingsoft.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- microsoft.com
- my-etrust.com
- nai.com
- networkassociates.com
- online.rising.com.cn
- pandasoftware.com
- rads.mcafee.com
- rising.com.cn
- scan.kingsoft.com
- secure.nai.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- symantec.com.cn
- trendmicro.com
- update.symantec.com
- Update2.JiangMin.com
- Update3.JiangMin.com
- updates.symantec.com
- us.mcafee.com
- viruslist.com
- virustotal.com
- www.avp.com
- www.ca.com
- www.f-secure.com
- www.grisoft.com
- www.iduba.net
- www.jiangmin.com
- www.kaspersky.com
- www.kaspersky.com.cn
- www.mcafee.com
- www.microsoft.com
- www.my-etrust.com
- www.nai.com
- www.networkassociates.com
- www.pandaguard.com
- www.pandasoftware.com
- www.rising.com.cn
- www.sophos.com
- www.symantec.com
- www.symantec.com.cn
- www.trendmicro.com
- www.viruslist.com
- www.virustotal.com
Solutions
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Im abgesicherten Modus neu starten
Step 4
Diesen Registrierungsschlüssel löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- RpcRemotes
- RpcRemotes
Step 5
Diesen Registrierungswert löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- WinShell = "%System%\remote.exe"
- WinShell = "%System%\remote.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
- WinShell = "%System%\remote.exe"
- WinShell = "%System%\remote.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
- Ph4nt0m = "Ph4nt0m"
- Ph4nt0m = "Ph4nt0m"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
- %System%\remote.exe = '%System%\remote.exe:*:Disabled:Generic Host Process for Win32 Services"
- %System%\remote.exe = '%System%\remote.exe:*:Disabled:Generic Host Process for Win32 Services"
Step 6
Diesen geänderten Registrierungswert wiederherstellen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
- From: Start = "4"
To: Start = "2"
- From: Start = "4"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
- From: Start = "4"
To: Start = "2"
- From: Start = "4"
Step 7
Diese Zeichenfolgen entfernen, die die Malware/Grayware/Spyware zur HOSTS-Datei hinzugefügt hat
- Play with the best, Die like the rest.
- [Phantom] 2005 made by Evil[xiaou]. Special Thanks:x140d4n.
- If u have Zotob's SourceCode, please u mail it to me!!! E-mail:x140yu@Gmail.Com thanks!!!
- 0.0.0.0 jiangmin.com
- 0.0.0.0 www.jiangmin.com
- 0.0.0.0 Update2.JiangMin.com
- 0.0.0.0 Update3.JiangMin.com
- 0.0.0.0 rising.com.cn
- 0.0.0.0 www.rising.com.cn
- 0.0.0.0 online.rising.com.cn
- 0.0.0.0 iduba.net
- 0.0.0.0 www.iduba.net
- 0.0.0.0 kingsoft.com
- 0.0.0.0 db.kingsoft.com
- 0.0.0.0 scan.kingsoft.com
- 0.0.0.0 kaspersky.com.cn
- 0.0.0.0 www.kaspersky.com.cn
- 0.0.0.0 symantec.com.cn
- 0.0.0.0 www.symantec.com.cn
- 0.0.0.0 www.symantec.com
- 0.0.0.0 securityresponse.symantec.com
- 0.0.0.0 symantec.com
- 0.0.0.0 www.sophos.com
- 0.0.0.0 sophos.com
- 0.0.0.0 www.mcafee.com
- 0.0.0.0 mcafee.com
- 0.0.0.0 liveupdate.symantecliveupdate.com
- 0.0.0.0 www.viruslist.com
- 0.0.0.0 viruslist.com
- 0.0.0.0 viruslist.com
- 0.0.0.0 f-secure.com
- 0.0.0.0 www.f-secure.com
- 0.0.0.0 kaspersky.com
- 0.0.0.0 kaspersky-labs.com
- 0.0.0.0 www.avp.com
- 0.0.0.0 www.kaspersky.com
- 0.0.0.0 avp.com
- 0.0.0.0 www.networkassociates.com
- 0.0.0.0 networkassociates.com
- 0.0.0.0 www.ca.com
- 0.0.0.0 ca.com
- 0.0.0.0 mast.mcafee.com
- 0.0.0.0 my-etrust.com
- 0.0.0.0 www.my-etrust.com
- 0.0.0.0 download.mcafee.com
- 0.0.0.0 dispatch.mcafee.com
- 0.0.0.0 secure.nai.com
- 0.0.0.0 nai.com
- 0.0.0.0 www.nai.com
- 0.0.0.0 update.symantec.com
- 0.0.0.0 updates.symantec.com
- 0.0.0.0 us.mcafee.com
- 0.0.0.0 liveupdate.symantec.com
- 0.0.0.0 customer.symantec.com
- 0.0.0.0 rads.mcafee.com
- 0.0.0.0 trendmicro.com
- 0.0.0.0 www.pandaguard.com
- 0.0.0.0 pandasoftware.com
- 0.0.0.0 www.pandasoftware.com
- 0.0.0.0 www.trendmicro.com
- 0.0.0.0 www.grisoft.com
- 0.0.0.0 www.microsoft.com
- 0.0.0.0 microsoft.com
- 0.0.0.0 www.virustotal.com
- 0.0.0.0 virustotal.com
Step 8
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als WORM_FANBOT.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Step 9
Diese Sicherheits-Patches herunterladen und übernehmen Verwenden Sie diese Produkte erst, wenn die entsprechenden Patches installiert wurden. Trend Micro empfiehlt Benutzern, wichtige Patches nach der Veröffentlichung sofort herunterzuladen.
Step 10
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als WORM_FANBOT.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participez à notre enquête!