Trojan.Peacomm

Druckansicht

Entdeckt: January 19, 2007
Aktualisiert: February 08, 2008 3:12:49 PM
Auch bekannt als: Small.DAM [F-Secure], CME-711 [Common Malware Enumeration], Troj/Dorf-Fam [Sophos], Downloader-BAI!M711 [McAfee], TROJ_SMALL.EDW [Trend], W32/Tibs [Norman], Troj/Dorf-J [Sophos], W32/Zhelatin.gen!eml [McAfee], Email-Worm.Win32.Zhelatin [Kaspersky],
Typ: Trojan
Infektionslänge: 29.347 Bytes; 30.720 Bytes; 32.387 Bytes; 34.816 Bytes (variiert)
Betroffene Systeme: Windows

Trojan.Peacomm ist ein Trojaner, der eine Treiber-Programmdatei ablegt, um ein anderes Programm herunterzuladen. Er wird angeblich an Spam-E-Mail angehängt. Er wird außerdem möglicherweise von W32.Mixor.Q@mmhttp://www.symantec.com/security_response/writeup.jsp?docid=2006-122917-0740-99 abgelegt.

Trojan.Peacomm geht angeblich als Anhang einer Spam-E-Mail mit den folgenden Eigenschaften ein:

Betreff:

Eine der folgenden Möglichkeiten:

  • A killer at 11, he's free at 21 and kill again!
  • U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
  • British Muslims Genocide
  • Naked teens attack home director.
  • 230 dead as storm batters Europe.
  • Re: Your text
  • Radical Muslim drinking enemies's blood.
  • Chinese missile shot down Russian satellite
  • Chinese missile shot down Russian aircraft
  • Chinese missile shot down USA aircraft
  • Chinese missile shot down USA satellite
  • Russian missile shot down USA aircraft
  • Russian missile shot down USA satellite
  • Russian missile shot down Chinese aircraft
  • Russian missile shot down Chinese satellite
  • Saddam Hussein safe and sound!
  • Saddam Hussein alive!
  • Venezuelan leader: "Let's the War beginning".
  • Fidel Castro dead.

Anhang:

Eine der folgenden Möglichkeiten:
  • FullVideo.exe
  • Full Story.exe
  • Video.exe
  • Read More.exe
  • FullClip.exe
  • GreetingPostcard.exe
  • MoreHere.exe
  • FlashPostcard.exe
  • GreetingCard.exe
  • ClickHere.exe
  • ReadMore.exe
  • FlashPostcard.exe
  • FullNews.exe

Hinweis:
Aufgrund einer wesentlichen Steigerung der Aktivität dieser Bedrohung hat Symantec Security Response diese Bedrohung am 22. Januar 2007 auf Kategorie 3 hochgestuft.

Weitere Informationen:
Um mehr über diese Bedrohung erfahren, lesen Sie bitte die folgenden englischsprachigen Symantec Security Response-Blog-Einträge:

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version January 19, 2007
  • Latest Rapid Release version May 07, 2019 Änderung 006
  • Erste Daily Certified-Version January 19, 2007
  • Neueste Daily Certified-Version May 07, 2019 Änderung 008
  • Initial Weekly Certified release date January 22, 2007

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.


Technische Details

Wenn der Trojaner ausgeführt wird, legt er die folgende Datei ab:
%System%\wincom32.sys

Die oben genannte Datei wird als neuer Gerät-Service-Treiber bei den folgenden Merkmalen registriert:
Anzeige-Name: wincom32
Binärer Pfad: %System%\wincom32.sys

Der Trojaner erstellt dann die folgenden Registrierungsunterschlüssel, um den oben genannten Dienst zu installieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

Sobald der Gerätetreiber geladen wurde, sucht er nach dem Prozess services.exe und nistet ein Modul darin ein.

Der Trojaner verbirgt dann möglicherweise den vorhandenen Geräte-Service und die zugehörigen Dateien.

Er startet den Computer möglicherweise auch ohne Eingabeaufforderung neu, wenn die Bedrohung erstmals ausgeführt wird.

Der Trojaner legt dann eine verschlüsselte Liste der anfänglichen Peers in einer der folgenden Konfigurationsdateien ab:
%System%\peers.ini
%System%\wincom32.ini

Er öffnet und überwacht die folgenden Ports, die als verschlüsselte Kommunikationskanäle mit anderen Peers verwendet werden.

  • UDP-Port 4000
  • UDP-Port 7871
  • UDP-Port 11271

Anschließend registriert der Trojaner den gefährdeten Computer mit dem Overnet-Protokoll als Peer im vorhandenen Peer-to-Peer-Netzwerk, indem eine Verbindung zu den Peers in der oben genannten Peer-Liste hergestellt wird.
Hinweis: Das Overnet-Protokoll wird von einigen Dateifreigabeanwendungen verwendet; Peacomm verwendet jedoch sein eigenes privates Netzwerk.

Das Peer-to-Peer-Netzwerk kann dann von einem bösartigen Benutzer benutzt werden, um Informationen abzurufen, welche Dateien heruntergeladen und ausgeführt werden sollen. Es werden außerdem Informationen weiterer Peers abgerufen und die eigene Peer-Liste wird mit den gesammelten Informationen aktualisiert.

Der Trojaner lädt dann möglicherweise die folgenden Bedrohungen herunter und führt sie aus:
  • 217.107.217.187/game0.exe
  • 81.177.3.169/dir/game1.exe
  • 81.177.3.169/dir/game2.exe
  • 81.177.3.169/dir/game4.exe

Der Trojaner wird möglicherweise von W32.Mixor.Q@mm abgelegt. Er geht außerdem möglicherweise als Anhang einer Spam-E-Mail mit den folgenden Eigenschaften ein:

Betreff:
Eine der folgenden Möglichkeiten:
  • A killer at 11, he's free at 21 and kill again!
  • U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
  • British Muslims Genocide
  • Naked teens attack home director.
  • 230 dead as storm batters Europe.
  • Re: Your text
  • Radical Muslim drinking enemies's blood.
  • Chinese missile shot down Russian satellite
  • Chinese missile shot down Russian aircraft
  • Chinese missile shot down USA aircraft
  • Chinese missile shot down USA satellite
  • Russian missile shot down USA aircraft
  • Russian missile shot down USA satellite
  • Russian missile shot down Chinese aircraft
  • Russian missile shot down Chinese satellite
  • Saddam Hussein safe and sound!
  • Saddam Hussein alive!
  • Venezuelan leader: "Let's the War beginning".

Anhang:

Eine der folgenden Möglichkeiten:
  • FullVideo.exe
  • Full Story.exe
  • Video.exe
  • Read More.exe
  • FullClip.exe
  • GreetingPostcard.exe
  • MoreHere.exe
  • FlashPostcard.exe
  • GreetingCard.exe
  • ClickHere.exe
  • ReadMore.exe
  • FlashPostcard.exe
  • FullNews.exe

Empfehlungen

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.


Entfernung

Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Virenschutzprodukte von Symantec, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.

  1. Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP).
  2. Aktualisieren Sie Ihre Virendefinitionen.
  3. Führen Sie eine vollständige Systemprüfung durch.
  4. Entfernen Sie die in die Registrierung geschriebenen Werte.

Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

1. Deaktivieren der Systemwiederherstellung (Windows Me/XP)
Wenn Sie mit Windows Me oder XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese in der Systemwiederherstellung möglicherweise mitgesichert.

Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.

Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:

Hinweis: Wenn Sie das Entfernungsverfahren abgeschlossen haben und die Bedrohung erfolgreich entfernt wurde, sollten Sie die Systemwiederherstellung anhand der Anweisungen in den zuvor genannten Dokumenten wieder aktivieren.

Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel deAntivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer: Q263455).

2. Aktualisieren der Virendefinitionen
Alle Virendefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:
  • Das Ausführen von LiveUpdate ist die einfachste Methode, um Virendefinitionen zu beziehen.
  • Herunterladen der Definitionen mit dem Intelligent Updater: Die Intelligent Updater-Virendefinitionen werden täglich veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virendefinitionen (Intelligent Updater).

Die neuesten Intelligent Updater-Virendefinitionen können hier heruntergeladen werden: Intelligent Updater-Virendefinitionen . Detaillierte Anweisungen erhalten Sie im Dokument Aktualisieren der Virendefinitionsdateien mit dem Intelligent Updater .

3. Durchführen einer vollständigen Systemprüfung
  1. Starten Sie Ihr Virenschutzprogramm von Symantec und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
  2. Führen Sie eine vollständige Systemprüfung durch.
  3. Wenn irgendwelche Dateien erkannt werden, befolgen Sie die Anweisungen, die durch von Ihrem Virenschutzprogramm angezeigt werden.
Wichtig: Wenn Sie Ihr Virenschutzprodukt von Symantec nicht starten können oder wenn das Produkt meldet, dass es eine erkannte Datei nicht löschen kann, müssen Sie verhindern, dass das Risiko ausgeführt wird, um es zu entfernen. Um dieses Problem zu beheben, führen Sie die Prüfung im abgesicherten Modus aus. Anweisungen hierzu finden Sie im Dokument Starten Ihres Computers im abgesicherten Modus . Sobald der Computer im abgesicherten Modus gestartet wurde, führen Sie die Prüfung erneut aus.


Nachdem die Dateien gelöscht sind, starten Sie den Computer im normalen Modus neu und fahren Sie mit dem nächsten Abschnitt fort.

Warnmeldungen können angezeigt werden, wenn der Computer neu gestartet wird, da die Bedrohung zu dem Zeitpunkt möglicherweise noch nicht völlig entfernt worden ist. Sie können diese Meldungen ignorieren und auf OK klicken. Diese Meldungen erscheinen nicht, wenn der Computer neu gestartet wird, nachdem die Entfernungsanweisungen völlig durchgeführt worden sind. Die Meldungen, die angezeigt werden, können folgendermaßen aussehen:

Titel: [DATEIPFAD]
Nachrichtentext: Windows cannot find [DATEIPFAD]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. Entfernen eines Werts aus der Registrierung
Wichtig: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Ändern Sie nur die angegebenen Unterschlüssel. Anweisungen hierzu erhalten Sie im Dokument Erstellen einer Sicherheitskopie der Windows-Registrierung .
  1. Klicken Sie auf Start > Ausführen.
  2. Geben Sie regedit ein
  3. Klicken Sie auf OK.

    Hinweis: Wenn der Registrierungseditor nicht geöffnet werden kann, kann die Bedrohung die Registrierung geändert haben, um Zugriff auf den Registrierungseditor zu verhindern. Security Response hat ein Programm entwickelt, um dieses Problem zu beheben. Laden Sie dieses Programm herunter und fahren Sie anschließend fort mit der Entfernung.

  4. Suchen Sie den folgenden Registrierungsunterschlüssel und löschen Sie ihn:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

  5. Schließen Sie den Registrierungseditor.

Dokument verfasst von: Masaki Suenaga and Mircea Ciubotariu