Trojan.Abwiz.F
Alias TR/Proxy.Lager.AQ.1 (AVIRA)
Entdeckt am: 22. März 2006
Typ: Trojaner
Infizierbare Systeme: Windows 95, 98, Me, NT, 2000, Windows Server 2003, XP
Trojan.Abwiz.F ist ein Trojaner mit Rootkit Fähigkeiten,
der fremde Dateien herunterlädt und ausführt, vertrauliche Information an einen kriminellen Dritten weiterleitet. Der Trojaner erlaubt einem kriminellen Dritten zahllose Handlungen auf dem kompromitierten System vorzunehmen.
Wenn der Trojan.Abwiz.F ausgeführt wird, unternimmt er folgende Aktionen:
1. Kopiert sich in den Systemordner als %System%\taskdir.exe
Hinweis: %System% ist eine Variable für den System Ordner. Normalerweise ist das C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).
2. Fügt die neu erstellte Datei %System%\taskdir.dll allen laufenden Prozessen zu. Diese dll Datei enthält Rootkit Funktionen. Sie versteckt Dateien und Prozesse, die den String "taskdir" enthalten. Auch Registrierungswerte, die den String "taskdir" enthalten, werden versteckt.
3. Erstellt die nicht maliziöse Datei %System%\zlbw.dll.
4. Fügt den Wert:
"taskdir" = "%System%\taskdir.exe"
folgendem Registrierungs-Unterschlüssel zu:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run
so dass der Trojaner mit jedem Windows-Start mitaufgestartet wird.
5. Sendet Information über den kompromittierten Rechner via HTTP zu folgender IP Adresse:
[h**p://]216.255.179.235/new/cls/main[/url][ENTFERNT]
6. Untersucht das befallene System auf das Vorhandensein von Internet Verbindungen und versucht eine konfigurierte Datei herunterzuladen, die auf folgenden Seiten gespeichert ist:
* [h**p://]216.255.179.235/new/cntr/ab.[ENTFERNT]
* [h**p://]69.50.171.172/n/ab.[ENTFERNT]
* [h**p://]69.50.161.106/n/ab.[ENTFERNT]
* [h**p://]69.50.184.194/n/ab.[ENTFERNT]
7. Lädt Updates für sich selbst herunter und führt sie aus, von folgender URL:
[h**p://]216.255.179.235/new/cntr/bin/lat2[ENTFERNT]
8. Fügt folgende Werte:
"ColorTable19" = "[TROJAN DATA]"
"ColorTable20" = "[TROJAN DATA]"
diesem Registrierungs Schlüssel zu:
HKEY_CURRENT_USER
um bestimmte Konfigurations Daten zu speichern.
9. Dieser Trojaner kann dazu benutzt werden, Spam eMails zu versenden.
Verhaltens Empfehlung
Symantec empfiehlt überflüssige Dienste abzustellen, die Betriebssysteme, nebst Browsern auf dem aktuellen Stand zu halten, die AntiViren-Programme zu aktualisieren. Infizierte Rechner sollen vom Netzwerk getrennt werden, um eine weitere Infektion zu vermeiden. Komplizierte Passworte, die nicht auf den Systemen aufbewahrt werden dürfen, sind schwieriger zu erkennen. Angestellte sollten trainiert werden, keine Anhänge zu öffnen, wenn sie nicht erwartet werden, keine Software aus dem Netz herunterzuladen und auszuführen, ohne dass sie von einem geupdateten AntiViren-Programm gescannt worden sind. Man soll auch keine vertrauensunwürdigen Seiten besuchen, da dies allein bereits ausreicht, um ein System über einen ungepatchten Browser zu infizieren.
Entfernung per Remover:
Zur Entfernung sollte man das Trojan.Abwiz Removal Tool verwenden.
Symantec Security Response hat ein Removal Tool entwickelt, um die Infektionen des Trojan.Abwiz.F von den Systemen zu entfernen. Verwende folglich zuerst dieses Removal Tool, da es die einfachste Möglichkeit ist, den Trojaner und seine Auswirkungen vom System zu entfernen.
Manuelle Entfernung:
Diejenigen User, die den NAV verwenden, werden gebeten das System im abgesicherten Modus aufzustarten, da Norton AntiVirus im normalen Modus auf infizierten Systemen nicht laufen wird.
(-> Analoge Anwendung anderer AntiViren-Programme.)
1. Deaktiviere die Systemwiederherstellung (Windows Me/XP).
2. Aktualisiere dein AntiVirus Programm.
3. Lass einen vollen System Scan laufen und alle Dateien vom System entfernen, die gefunden werden.
4. Entferne die Werte, die der Registrierung angefügt worden sind.
zu 3.) Starte dein System in den normalen Modus auf, wenn die Dateien gelöscht worden sind. Es kann sein, dass du Warnungs Meldungen erhältst, wenn du dein System wieder aufstartest. Das bedeutet, dass die infizierten Dateien noch nicht vollständig vom System entfernt sind. Du kannst diese Meldungen ignorieren und auf OK klicken. Die Meldungen werden nicht auftreten, wenn das System vollständig gereinigt ist. Die Meldungen, die wiedergegeben werden, haben in etwa diesen Inhalt:
zu 4.) Du solltest ein Back-Up deiner Registry machen, bevor du sie editierst: back up.Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME].
Make sure you typed the name correctly, and then try again.
To search for a file, click the Start button, and then click Search.
Du kannst Registrar Lite verwenden, um die Registry zu editieren.
Öffne den Registry Editor.Starte den Rechner neu auf
Klicke Start > ausführen, schreib REGEDIT -> [enter]
Hinweis: wenn der Registry Editor sich nicht öffnen läßt, kann es daran liegen, dass die Malware die Registry Editor Werte verändert hat. Symantec Security Response hat ein Tool entwickelt, um dieses Problem zu beheben. Lade dieses Tool herunter, lass es laufen und mach dann weiter.
a. Navigiere zu diesem Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run
b. entferne auf der rechten Seite folgenden Wert:
"taskdir" = "%System%\taskdir.exe"
c. Navigiere zu diesem Schlüssel:
HKEY_CURRENT_USER
d. entferne auf der rechten Seite folgende Werte:
"ColorTable19" = "[TROJAN DATA]"
"ColorTable20" = "[TROJAN DATA]"
e. Schliesse den Registry Editor.
Bei Windows XP und ME: bitte die Systemwiederherstellung wieder aktivieren.
Englische Originalfassung von: Rodney Andres
Freie Übersetzung der englischen Original Seite von Symantec Trojan.Abwiz.F für die User von HijackThis.de von Ruby
