-= [EdadFutura] =- v.6.0 - [beta]

Blogs - Gadgets - Netzwerk - Consumer - Sicherheit - Entertainment - Technik - Kuriositäten - Emulatoren - iphone - Galerie Promis - Software-Downloads



Was passiert, wenn Ihr Computer ist ein ZOMBIE

August 29, 2008 (13:04) | Sicherheit | Geschrieben von: viperEF

Der bekannte Labor Kaskersky Lab veröffentlicht hat (in englischer Sprache) einen Artikel, um zu sehen, wenn unsere Computer Zugehörigkeit zu einem Netzwerk von mehr als 1.000.000 Zombie-Computer infiziert sind, ohne es zu wissen, nach dem Handbuch zu desinfizieren wir unser System:

Spanische Herrschaft

Englisch Regel

Anleitungen zum Auffinden und Entfernen bösartiger Software von Bot Shading.

Anleitung von: Vitaly Kamluk, Kaspersky Lab
Datum: 06.08.2008
MD5 der Probe: 9e2ef49e84bc16c95b8fe21f4c0fe41e

bösartige Software (mit Sicherheits-Software)

El programa malicioso se detecta con los siguientes nombres: Kaspersky Anti-Virus in der Lage war, zur Erkennung von Malware, die die Schatten Botnet seit 30. Januar 2008. Erkennung der Namen Mai sind von Version zu Version. erkannt wird unter den folgenden Bezeichnungen:

  • Backdoor.Win32.IRCBot.bit
  • Backdoor.Win32.IRCBot.biy
  • Backdoor.Win32.IRCBot.bjd
  • Backdoor.Win32.IRCBot.bjh
  • Backdoor.Win32.IRCBot.cja
  • Backdoor.Win32.IRCBot.cjj
  • Backdoor.Win32.IRCBot.ckq
  • Backdoor.Win32.IRCBot.cow
  • Backdoor.Win32.IRCBot.czt
  • Backdoor.Win32.IRCBot.ekz
  • Rootkit.Win32.Agent.aet
  • Trojan-Downloader.Win32.Injecter.pj
  • Trojan.Win32.DNSChanger.azo
  • Trojan.Win32.DNSChanger.bao
  • Trojan.Win32.DNSChanger.bck
  • Trojan.Win32.DNSChanger.bfo
  • Trojan.Win32.DNSChanger.bjh
  • Trojan.Win32.DNSChanger.bji
  • Trojan.Win32.DNSChanger.bjj
  • Trojan.Win32.DNSChanger.bmj
  • Trojan.Win32.DNSChanger.bnw
  • Trojan.Win32.DNSChanger.bqk
  • Trojan.Win32.DNSChanger.bsm
  • Trojan.Win32.DNSChanger.buu
  • Trojan.Win32.DNSChanger.bwi
  • Trojan.Win32.DNSChanger.bxd
  • Trojan.Win32.DNSChanger.bxe
  • Trojan.Win32.DNSChanger.bxv
  • Trojan.Win32.DNSChanger.cap
  • Trojan.Win32.DNSChanger.ccg
  • Trojan.Win32.DNSChanger.cei
  • Trojan.Win32.DNSChanger.cem
  • Trojan.Win32.DNSChanger.eag
  • Trojan.Win32.DNSChanger.gvb
  • Trojan.Win32.Restarter.e
  • Trojan.Win32.Restarter.f
  • Trojan.Win32.Restarter.g
  • Trojan.Win32.Restarter.h

Die aktuelle Stichprobe festgestellt wurde am 6. August 2008 als Trojan.Win32.DNSChanger.gvb

bösartige Software (manuell)

Sin embargo, es posible detectar la presencia del bot de control el registro del sistema. Da die Roboter nicht kopieren Sie Ihren Körper, die potentiell gefährliche Datei-Namen können unterschiedlich sein. Der Name des potentiell gefährliche Datei hängt davon ab, der Installer verwendet, um infizieren das System mit einem Bot. Doch Es ist möglich, das Vorhandensein von Bots die Kontrolle des System-Registers.

Benutzer können das System der Registrierung, indem Sie regedit.exe ein, und überprüfen Sie die folgenden Registry-Wert:

HKEY_CLASSES_ROOT \. HTC \ Content-Typ

großer Netzwerke können dies tun, der Ferne mit dem Befehl Reg.exe wie folgt:

Das System standardmäßig auf Registrierung (gefunden in Windows XP Pro SP2) für HKEY_CLASSES_ROOT \. HTC \ Content-Typ "text / x-Komponente". Wenn es einen anderen Wert, als "Space ()" auf der Platte, kann dies bedeuten, dass die Maschine ist mit Malware infiziert Schatten bot.

Sie können auch den Bienenkorb anderen Datensatz, die es dem Roboter, um ausgehenden Netzwerkverbindungen, um die Regeln der Windows-Firewall:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ Listen \.

Die Bot fügt einen Eintrag in die Liste der zugelassenen Anwendungen. Die Regel kann identifiziert werden als "Flash Media" wie unten angegeben, aber die Namen kann variieren.

El robot añade el camino a su archivo a las legítimas userinit.exe como se indica a continuación: Damit können Sie sehen, den Weg für die potentiell gefährliche Datei gespeichert ist auf dem infizierten System. Der Weg zu den potentiell gefährliche Datei finden Sie auch in der HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit Registrierungswert. Der Roboter fügt den Pfad zu Ihrer Datei auf die berechtigten userinit.exe wie folgt:

Die Datei Name und Ort kann variieren.

Netzwerk-Administratoren können sich mit infizierten Maschinen im lokalen Netzwerk Kontrolle ausgehenden Netzwerkverbindungen zu elena.ccpower.ru auf Port 3306, oder indem Sie die Adresse / Port unabhängig voneinander auf der Grundlage der Erkennung von Filter-Netzwerk-Verkehr nach Muster zeigt, unten:

bösartiger Software (manuell)

También protege la configuración de registro contra la modificación introducida por el restablecimiento de ellos con frecuencia. Si el proceso malicioso no está en ejecución, el parcheado winlogon.exe se reiniciará. Die Bot-Patches winlogon.exe Prozess im Speicher. Dies ermöglicht es bösartigen Code zu gewinnen lokalen Privilegien System und schützt die ursprünglichen potentiell gefährliche Datei vor Ausweisung. Es schützt auch die Registry-Einstellungen vor Veränderungen durch die Wiederherstellung sie häufig. Wenn die bösartigen Prozess nicht ausgeführt wird, die gepatchten winlogon.exe neu gestartet.

identifiziert die ausführbare bösartige, folgen Sie diesen Anweisungen zum Entfernen der Malware und Wiederherstellung der System-Konfiguration:

1. Verweigern der aktuelle Benutzer Zugriff auf alle schädliche Dateien. Um dies zu tun, gehen Sie auf die Datei mit dem Windows Explorer.

Stellen Sie sicher, dass die "Simple File Sharing" ( für die Nutzer NTFS) in Windows Explorer (Gehen Sie zu Windows Explorer-Fenster im Menü -> Extras -> Ordneroptionen -> Ansicht):

potentiell gefährliche Datei und wählen Sie "Eigenschaften":

Gehen Sie auf die Registerkarte "Sicherheit" und stellen Sie die Kontroll-Datei zugreifen. und fügte hinzu, dass der aktuelle Benutzer in die Liste der "Gruppen-oder Benutzernamen":

Klicken Sie auf Schaltfläche "Hinzufügen" und geben Sie Ihren Benutzernamen heute. alle Felder in der Spalte Verweigern für den Benutzer Aktuell:

2. Starten Sie Ihr System neu.

3. Navigieren Sie zu dem potentiell gefährliche Datei wieder. Jetzt haben Sie die Möglichkeit sie zu beseitigen.

Los valores típicos se enumeran a continuación (clave = valor): 4. Führen Sie regedit.exe und Wiederherstellung Registrierungsschlüssel, um die Standardwerte des Systems. Die Werte können je nach Installations-Pfad des Systems. Typische Werte sind unten aufgelistet (key = value):

\. HTC \ Content Type "=" text / x-Komponente "
\ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit" = "C: \ WINDOWS \ system32 \ userinit.exe "

5. Entfernen Sie die folgenden Werte:

\ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Flash Media"
HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ Liste \

6. Aktualisieren Sie Ihre Antiviren-Datenbanken und führen Sie einen vollständigen Scan Ihres Computers (Download einer Testversion von Kaspersky Anti -- Virus).

Aktie:
  • e-mail
  • Meneame
  • Digg
  • MisterWong
  • del.icio.us
  • Facebook
  • Mixx
  • Google
  • BarraPunto
  • Live
  • Slashdot
  • Technorati
  • TwitThis

Verwandte Artikel:

"Der Himmel ist auf ein paar
Wie San Fermin? "

Schreiben Sie einen Kommentar





Tags:
Separate einzelnen Tags durch Kommas