Gezien het aantal IRC-Worms die hier de afgelopen paar dagen gemeld worden, deze sticky.
Deze summary is slechts op een aantal punten generiek en geldt zeker niet voor alle varianten.
Je hebt een link die je via je IRC-client binnenkreeg aangeklikt en ineens gaat je computer raar doen...
Variant 1
Natali/Fedix launchen zichzelf keer op keer.(mirc.exe die vaak in processlist te zien is)
Er worden geen runentries in het register gemaakt, alleen wordt er met notepad.exe gesjoemeld waardoor bij het openen van een bijvoorbeeld een txt file de worm weer gestart wordt.
Natali was/is niets meer dan een hex/code edit van Fedix om detectie te omzeilen.
Oplossing die zou moeten werken(na een reboot):
copy %windir%\notepad.exe %systemdir%
Overschrijf de file als daarom gevraagd wordt.
Je kan eventueel ook nog notepad.exe van de Windows CD afhalen.
N.B. Dit gold/geldt voor deze varianten, mocht je vermoeden dat je een nieuwe variant hebt, sowieso eerst checken of de juiste notepad.exe overgeschreven wordt, je wilt natuurlijk niet de goede notepad.exe met de worm overschrijven.
Variant 2
Deze is op het moment erg populair.
Er wordt een file gedownload richting \program files\windows media player\ die 'wmplayer.exe' als naam heeft.
Door een (psyme)exploit wordt daarna de media player gelaunched.
WMP 7+ heeft de naam wmplayer.exe in bovengenoemde directorie --> malware gelaunched.
De backdoor maakt een copy van zichzelf die in %systemdir% gedropt wordt.
Vaak als iets wat lijkt op nsc32.exe. (Let op: nvsvc32.exe is van Nvidia)
Bij deze 'variant' wordt er wel een runentry gemaakt.
code:
1
2
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IE Processes="nosc32.exe " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\IE Processes="nosc32.exe |
Verdere Payload:
Er wordt een poort opengezet waardoor de besmette machine dus in een (potentiële) bot veranderd wordt.
Removal: Kill het process via taskmanager, delete/rename/move de file.
Delete de regentries.
Controleer je windows media player.
Verder:
Aangeraden wordt om hierna evengoed een full system scan te doen met een uptodate virusscanner.
En natuurlijk gelden ook hier de gangbare zaken bij een infectie; indien mogelijk van het net af gaan & voortaan patchen, updaten & opletten.
Zie verder [rml][ IRC-Worms] Groot IRC-Worm topic[/rml] voor tips en dergelijke.
Mocht je een nieuwe variant hebben waarbij deze tips niet werken - ga niet zelf prutsen, mdat het mogelijk is dat je meer kwaad doet dan goed.
Open dan een nieuw topic waarin je duidelijk uitlegt wat de symptomen zijn.
Een HijackThis log(tussen [code] tags)wordt gewaardeerd, mensen kunnen dan vaak direct zien wat het kwaadaardige proces is.
Het wordt niet gewaardeerd zogenaamde 'live links' te posten, clickable links die naar de malware leiden, hoewel die info wel van belang is, mail desnoods een BV-mod met die info.
Dit topic is gesloten.