Backdoor.Berbew

Dieses Thema im Forum "Sicherheit" wurde erstellt von pezzilou, 16. Januar 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. pezzilou

    pezzilou ROM

    Registriert seit:
    15. März 2004
    Beiträge:
    6
    Hi, :aua:

    mein PC ist mit folgenden Viren infiziert:

    Backdoor.Berbew.L
    Backdoor.Berbew.N
    Backdoor.Berbew.F

    Hat jemand Erfahrung im Entfernen dieser Viren und kann mir helfen ?

    Danke
    pezzilou
     
  2. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
  3. UKW

    UKW Megabyte

    Registriert seit:
    27. August 2003
    Beiträge:
    1.438
    Hallo,

    http://www.pcwelt.de/forum/showthread.php?p=715802#post715802
    in dem Thread fragst du "scheinheilig" warum dein Norton NIS nicht rund läuft. Hier schreibst du dass die Maschine mit einem Backdoor infiziert ist. Auf die Idee dass es da einen Zusammenhang gibt bist du nicht gekommen ??.

    Der angesprochene Trojaner klaut unter anderem Passwörter, solltest du es schaffen ihn zu Entfernen musst du alle deine Passworter ändern. Bei einem Backdoor ist das System allerdings in einer Art kompromittiert die eigentlich nur eine Neuinstallation zulässt.

    Kurzbeschreibung: Berbew kann gespeicherte Passwörter stehlen und ermöglicht es Dritten durch einen Backdoor, Zugang zum infizierten Computer zu erlangen.

    Berbew führt folgende Operationen auf dem infizierten Computer durch:

    • Registry Änderungen:

    Fügt folgenden Wert in die Registry hinzu um bei jedem Start von Windows automatisch gestartet zu werden.

    "Web Event Logger" = "{7CFBACFF-EE01-1231-ABDD-416592E5D639}"

    in den Registry Key:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    ShellServiceObjectDelayLoad

    Erzeugt mehrere Einträge unter dem Subkey:

    HKEY_CLASSES_ROOT\CLSID\{7CFBACFF-EE01-1231-ABDD-416592E5D639}\InProcServer32

    • Erzeugt die folgenden Dateien:

    %System%\[8 zufällige Zeichen].exe
    %System%\[8 zufällige Zeichen].dll
    %System%\[8 zufällige Zeichen].html

    • Erzeugt ein Mutex mit den Namen „VEN2b“ um sicherzustellen, dass nur eine Instanz von Berbew auf der infizierten Maschine läuft.

    • Öffnet einen Proxy Server auf einem zufälligen Port, dies erlaubt dass der infizierte Computer als ein verdeckter Proxy verwendet wird.

    • Benutzt „rootkit“ Technologie um die Prozesse und Dateien des Trojaners geheim zu halten und vor dem Benutzer verborgen zu bleiben.

    • Stiehlt Passwörter in dem er diese von den Datenfelder des Internet Explorers ausließt.

    • Sendet diese gestohlenen Informationen an einen Angreifer, indem er eine Abfrage an eine vorbestimmte URL sendet.

    • Durchsucht die Festplatte nach einem Ordner mit dem Namen „system“ und versucht diesen zu löschen.

    Manuelle Entfernung:

    Um die erzeugten Registry Keys zu löschen sind folgende Schritte notwendig:

    1.) Start > Ausführen

    2.) Eingeben des Befehls regedit und bestätigen mit OK.

    3.) Löschen des folgenden Werts

    "Web Event Logger" = "{7CFBACFF-EE01-1231-ABDD-416592E5D639}"

    In dem Registry Key:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    ShellServiceObjectDelayLoad

    4.) Löschen des folgenden Keys und dessen Subkeys:

    HKEY_CLASSES_ROOT\CLSID\{7CFBACFF-EE01-1231-ABDD-416592E5D639}\InProcServer32

    UKW
     
  4. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Und genau deshalb solltest du dein System neu aufsetzen, denn du weißt nicht wer sich da schon alles Zugriff verschafft hat.


    -------

    Infiziertes System neu aufsetzen:

    Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

    Auf einem nicht infizierten System den aktuellen Service Pack für dein Windows sowie falls im SP nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

    Auf dem infizierten System:
    - wichtige Daten sichern (sofern noch möglich)
    - Windows neu installieren mit NTFS-Neuformatierung der Systempartition
    (oder ein sauberes Image zurückspielen)
    - die Service Packs und Patches von der CD installieren
    - Unnötige Dienste beenden mit dem Skript von http://www.ntsvcfg.de/
    - Virenwächter installieren (AntiVir und AVG gibts kostenlos)
    - sämtliche Passwörter ändern
    - Spybot S&D installieren und das System immunisieren
    - die automatische Windows-Update Funktion aktivieren
    - alle anderen Partitionen auf Schädlinge prüfen
    - die gesicherten Daten erst nach intensiver Prüfung zurückspielen (nur wenn absolut unvermeidbar).
    NIE ausführbare Dateien zurückspielen

    -------
     
  5. pezzilou

    pezzilou ROM

    Registriert seit:
    15. März 2004
    Beiträge:
    6
    Hallo UKW,

    zunächst Danke für Deine Hilfe, werde gleich an die Arbeit gehen ...

    Es handelt sich um 2 Rechner, der, auf dem NIS nicht rund läuft, ist nicht infiziert.
     
  6. TABANO

    TABANO Kbyte

    Registriert seit:
    18. März 2003
    Beiträge:
    284
    @UKW: Gut so! Immer die klasse Tipps raushauen. Warum soll sich Pezzilou auch die Mühe des Neuaufsetzens machen, wenn er (evtl. ohne entsprechende Kenntnisse) seine verseuchte Kiste auch zu Fuss, oberflächlich "bereinigen" kann. Warum überlässt Du es nicht dem Arzt
    (the Doctor Zitat:Berbew kann gespeicherte Passwörter stehlen und ermöglicht es Dritten durch einen Backdoor, Zugang zum infizierten Computer zu erlangen.)?

    Da keiner weiss, was bereits auf Pezzilous Rechner stattgefunden hat, ist Neuaufsetzen geradezu Bürgerpflicht! Wenn Pezzilou nicht richtig firm ist mit der registry, kann er seinen Rechner lahmlegen, wenn er etwas falsch macht; OK - ist auch ein Weg, eine Virenschleuder zu killen; fände ich aber etwas niederträchtig.
     
  7. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    @Tabano,

    du hast doch eigentlich genug Forenerfahrung, um solch eine Leichenschändung zu unterlassen, oder? :D
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen