Worm.IM.Luk.A / Worm.IM.Sohanat.B

Viermele este recunoscut de Bitdefender (alte AV nu am incercat). Versiunea free 8 nu a reusit sa-l elimine. Nu am incercat cu v.10.

Fisiere: pe langa cele cunoscute am mai gasit si altele ingenios ascunse sau facute sa apara ca un folder.

Antivirusul nu poate repara si stricaciunile (tskmgr, folder options, etc.).


Preventie: pentru a se instala viermele se foloseste de 2 (poate si mai multe) vulnerabilitati pentru care exista patch.
Instalati patch-urile si/sau faceti update la Windows.

1. Vulnerability in the Microsoft Data Access Components (MDAC) Function Could Allow Code Execution (911562)

2. Cumulative Security Update for Internet Explorer (912812)

sau Internet Explorer 7 + patchurile lui (acelasi link de la pct. 2)

Edited by Daisuke, 24 March 2007 - 00:53.

Bitdefender: Win32.Worm.IM.Luk.A, Worm.IM.Sohanat.B

Dupa vizitarea unei anumite pagini se instaleaza urmatoarele fisiere:

c:\New Folder.exe
c:\Documents and Settings\All Users\Start Menu\Programs\Startup\MSconfig.exe
c:\WINDOWS\lsass.exe
c:\WINDOWS\system\lsass.exe
c:\WINDOWS\system\svchost.exe
c:\WINDOWS\system\svchost32.exe

Viermele modifica Windows Registry si ascunde extensiile fisierelor.
New Folder.exe si MSconfig.exe par a fi foldere.
 newfolder.jpg   20.93K   445 downloads

In Windows Explorer dispare comanda Folder Options ... din meniul Tools.
In meniul Start dispare comanda Run ....
Regedit este disabled si Windows Registry nu poate fi editat.
Task manager nu poate fi pornit.
Homepage este schimbat.
In Yahoo Messenger sunt adaugate 2 setari.

Viermele se propaga trimitand un instant message la toate persoanele din lista.
Daca cineva face click pe link ajunge la pagina respectiva si se infecteaza.
Ca sa se instaleze viermele se foloseste de 2 vulnerabilitati in Windows (vezi primul post). Pentru ambele vulnerabilitati exista patch-uri !!


In logul HiJackThis apar urmatoarele:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://[editat]news.info/

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\lsass.exe

O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [Yahoo Messenger] C:\WINDOWS\system\svchost32.exe
O4 - Global Startup: MSconfig.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


Solutie:

Printeaza sau copiaza cele de mai jos pentru ca Internet Explorer trebuie sa ramana inchis pana fixezi HomePage in browser.

Download ATF Cleaner http://www.atribune..../click.php?id=1 si salveaza-l pe desktop. Nu-l folosi inca.

Download Repara.zip si extrage Repara.inf pe desktop. Nu-l folosi inca.

 Repara.zip   584bytes   1233 downloads

Download Killbox by Option^Explicit: http://www.softpedia...t-Killbox.shtml
Extrage programul pe desktop si fa dublu-click pe Killbox.exe pentru a porni programul.
In Killbox selecteaza optiunea Delete on Reboot si apasa butonul All Files.

Copiaza linile de mai jos selectandu-le si apasand dupa aia Control+C:

c:\New Folder.exe
c:\Documents and Settings\All Users\Start Menu\Programs\Startup\MSconfig.exe
c:\WINDOWS\lsass.exe
c:\WINDOWS\system\lsass.exe
c:\WINDOWS\system\svchost.exe
c:\WINDOWS\system\svchost32.exe

In Killbox, mergi la meniul File si selecteaza Paste from Clipboard.

Click pe butonul rosu cu alb Delete File. Click Yes cand te intreaba sa Reboot.

Computerul o sa reporneasca.

Vei primi un mesaj de eroare dupa reboot. Click OK ca sa dispara.

Cu HijackThis fixeaza intrarile:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://[editat]news.info/

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\lsass.exe

O4 - HKLM\..\Run: [Task Manager] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [Yahoo Messenger] C:\WINDOWS\system\svchost32.exe
O4 - Global Startup: MSconfig.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


Goleste temp si Temporary Internet Files.
Dublu-click ATF-Cleaner.exe pentru a porni programul.
In tab-ul Main alege: Select All
Apasa butonul Empty Selected.

Click dreapta pe repara.inf si click Install.

REBOOT.

Nu strica sa faci un scan on-line si un update la Windows.

Daca ai probleme deschide un topic nou si posteaza un log HijackThis.


Repara.inf sterge urmatoarele (mai multe decat modifica viermele):
Daca vrei sa stergi doar modificarile facute de vierme lasa-le doar pe cele rosii. (de exemplu daca ai setat tu unele din restrictiile de mai jos)

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableLocalMachineRun
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableLocalMachineRunOnce
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRun
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRunOnce
HKLM, Software\Microsoft\Windows\CurrentVersion\Internet Settings,GlobalUserOffline
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, Software\Policies\Microsoft\Internet Explorer\Control Panel,Homepage
HKLM, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserOptions
HKLM, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserClose
HKLM, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserContextMenu
HKLM, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoNavButtons
HKLM, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoSelectDownloadDir
HKLM, Software\Policies\Microsoft\Windows NT\SystemRestore,DisableConfig
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableLocalMachineRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableLocalMachineRunOnce
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisableCurrentUserRunOnce
HKCU, Software\Microsoft\Windows\CurrentVersion\Internet Settings,GlobalUserOffline
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKCU, Software\Policies\Microsoft\Internet Explorer\Control Panel,Homepage
HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserOptions
HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserClose
HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoBrowserContextMenu
HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoNavButtons
HKCU, Software\Policies\Microsoft\Internet Explorer\Restrictions,NoSelectDownloadDir
HKCU, Software\Policies\Microsoft\Windows NT\SystemRestore,DisableConfig
HKCU, Software\Yahoo\pager\View\YMSGR_buzz,content url
HKCU, Software\Yahoo\pager\View\YMSGR_Launchcast,content url

Edited by Daisuke, 24 March 2007 - 00:50.

Quote

Un detaliu ce ar trebui adaugat: In root-ul fiecarei partitii, nu numai C:\

Poti sterge acest post.

Quote

Thanks

sal...
sunt fata si probabil de aia nu am reusit sa scap de virus singura!
oricum am incercat datorita indrumarilor voastre!
ms!

mersi mult!
m-ai salvat de la un reinstall windows  

Daisuke....esti eroul meu!
merci mult!

cand vreau sa rulez killbox imi apare eroarea asta:
"component mscomtcl.ocx or one of its dependencies not correctly registered: a file is missing or invalid"

Edited by user200, 03 May 2007 - 10:58.

Download fisierul de aici: http://www.ascentive...ib/MSCOMCTL.OCX

Instructiuni aici: http://www.ascentive...me=MSCOMCTL.OCX

am intampinat si eu o mica problema. Poate pare stupid dar zic ca vreau sa scap de acest virus. In killbox cand dau paste from clipboard nu imi apare nik , niciun path, si  nu am uitat sa copiez alea ( sa dau copy). Care este solutia?

Folosesti comanda Paste from clipboard din Killbox ?

Daisuke, on Jun 4 2007, 22:43, said:

pai asta am si facut      , uite am pus si 2 poze , astia sutn pasii ca doar nu am 5 ani sa nu ma descurc ; dar nu inteleg de ce nu merge, merge numa sa dau paste acolo si imi apare decat prima linie cea cu c;/new folder si normal ca nu poate sa bage mai mutle linii; si am observat ca nu imi pare folderul new folder in c:\new folder sau nu apare ca si celelate si inca ceva ca sa inchei, am dat sa sterg nujma new folder cu killbox si imi spune ca a fost sters by external tools ceva de genu,,, e daca nu reusesc o sa dau un format c anu ma doare sa bag un cd si sa astept vreo juam de ora, totusi sper sa nu formatez.
ms
p.s.: si la user nu apre nimik pt ca mi-am sters eu numele

Edited by fanmamaie, 05 June 2007 - 06:16.

asha si ca sa inchei messengerul nu mi l-a afectat ca stiu ca trebuia sa imi afecteze si messengerul si la internet options, nu mai pot sa dau blank page dar e ramas blank page, in rest mi se intamplat exact ceea ce si face aceasta rama nu imi merge task manager si nu am la tools options si la start imi dispare run; dar daca fac alt user acount merge task manager ... dar la fel options de la tools nu....

Edited by fanmamaie, 05 June 2007 - 06:20.

Daca fisierele exista le poti sterge manual in safe mode. Nu ai nevoie de Killbox.

Edited by Daisuke, 05 June 2007 - 06:58.

Help me guys cant understand your language i HIT W32.Worm.IM.LUK.A

i tried the cleaner and repara dunno if its work but i always got this error when starts

something like this "cannot be found Isass.exe " i dont know how to remove this pls help Pls use English Thanks in Advance

BLUE_ICE, on Jul 12 2007, 06:28, said:

hey men! look here:useing HiJackThis fix this line:

O4 - HKLM\..\Run: [exista o denumire aici] C:\WINDOWS\system\lsass.exe

Daisuke, esti maret. Nu stiu daca preiei de altundeva informatiile si procedurile astea, dar e meritul tau oricum din moment ce ne faci viata mai usoara. Am reusit si eu sa repar un laptop infectat cu virusachele asta, insa scula merge foarte greu de cand a luat virusul. Chiar si dupa indepartarea sa. Ce e de facut? Am \Win Xp Home licentiat cu toate update-urile la zi si IE 7 updatat.

Avem la birou o retea de peste 10 calculatoare, dintre care inca doua sunt infectate cu acelasi nesuferit de verme. Am sa incep sa le repar si pe alea de indata. Crezi ca ar mai trebui sa fac ceva ca sa ma asigur ca nu mai apare si pe altele. E reteaua un risc in plus? E retea wireless si hard mixata.

Ce solutii ar trebui sa utilizez pentru a nu mai avea problemele astea? Free sau cu plata.

Danke schon

Multumesc autorului pt. instructiunile de recovery !
La mine a facut ceva in plus, are prostul obicei sa stearga Firefox.exe daca il gaseste.
Pune new folder.exe in fiecare drive accesat. Daca nu accesezi o anumita partitie cat esti infectat nu pune exe-ul mentionat in radacina.

Ca o adaugare eu am folosit process explorer ca sa omor procesul lsass.exe al virusului. Cand i-am omorat procesul mi-a dat mesajul ca se inchide windows-ul intr-un minut. Ca sa anulezi acel shutdown se porneste o consola (c:\windows\cmd.exe) si se tasteaza comanda "shutdown -a" fara ghilimele desigur .

Ca idee eu m-am captusit cu el de la altcineva care era infectat. Am folosit un ipod pe post de hdd portabil ca sa copiez niste filme de la respectivul iar cand am ajuns acasa si am accesat ipod-ul in windows (nu te infectezi daca folosesti itunes) m-am infectat. Atentie ca recunoaste ipod-uri si creeaza fisiere executabile care arata ca niste foldere tipice pt. ipod (gen: Contacts.exe, Calendars.exe) fisierul autorun.inf responsabil cu realizarea infectiei era pus ca hidden, ideea e ca atunci cand ai dat dublu-click si ai vazut fisierul respectiv, care in mod normal nu are ce cauta pe ipod, deja e prea tarziu.