GenCTurK / sirh0t rootkit

06 jun 2005, 10:58

Gisteren op 1 van m'n 2 bestanden opgemerkt op de C:\-root, a.bat en b.bat . Suspicious als ik ben edit ik die files en merk dat het scriptjes zijn die allerlei services stoppen en onbereikbaar maken (a.bat) en een nieuwe hosts-file maken (b.bat) die ongeveer alle update-url's onbereikbaar maakt. Dat zag er niet gezond uit.
Ik heb geen virusscanner op die pc staan, maar die zou dit toch niet hebben tegen gehouden.
Na een herstart (was een slecht idee, maar kom) was system32 niet meer zichtbaar. Als je in de adresbalk C:\Windows\system32 typte kreeg je een foutmelding alsof de server niet bereikbaar is. Via een commandoprompt kon ik wél nog naar C:\Windows\System32\drivers\etc , maar bij het willen overschrijven van HOSTS kreeg ik een "Access is denied".
How-to om deze rootkit te verwijderen:

Start je PC op vanaf een Windows PE-cd (bvb eentje die je gemaakt hebt via BartPE - in mijn geval heb ik Super WinPE 2004 all-in-one gebruikt)
Verwijder "C:\WINDOWS\system32\Software\" met alle inhoud
Verwijder "C:\WINDOWS\system32\wkssvc32.exe" (NIET de .dll!)
Verwijder "C:\system.exe"
Verwijder "C:\system.ini" (NIET WINDOWS\system.ini!)
Verwijder "C:\system.sys"
Verwijder "C:\autoexec" (NIET autoexec.bat!)
Voer deze regel uit: "echo 127.0.0.1 localhost > C:\Windows\System32\Drivers\etc\HOSTS"
Voer een register-editor uit op je register van de besmette Windows en verwijder volgende entries:
- Voor elke user: \Software\Microsoft\Windows\CurrentVersion\Run\ de entry "Windows Workstation Service (32-bits)"
- idem voor \RunServices
Verwijder volgende sleutels:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GencTurK RootKit Driver
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GencTurK RootKit
- HKLM\SYSTEM\ControlSet00X\Services\GencTurK RootKit
- HKLM\SYSTEM\ControlSet00X\Services\GencTurK RootKit Driver
- HKLM\SYSTEM\ControlSet00X\Control\SafeBoot\Minimal\GencTurK RootKit
Waarbij X 1, 2, 3 kan zijn.
Herstarten zonder cd en hopelijk ben je het virus kwijt!

Verwante virussen, trojans, backdoors, ...:

Backdoor.Win32.SdBot.gen
Backdoor.Win32.HacDef.ad
IM-Worm.Win32.Kelvir.bm
Trojan.BAT.NoShare

Mogelijk werkt je intern netwerk niet meer. Je moet dan TCP/IP eens resetten:

Code: Selecteer alles

netsh int ip reset resetlog.txt

Iemand van mening dat ik iets over het hoofd zie?

ubremoved_539 · 06 jun 2005, 11:12

meon schreef:Ik heb geen virusscanner op die pc staan, maar die zou dit toch niet hebben tegen gehouden.

Vanwaar die conclusie ?

06 jun 2005, 11:31

Bwa, misschien had die het eerste bestand kunnen tegenhouden. Maar het is een vrij recent iets, en aangezien het een combinatie is van verschillende malware die o.a. de virusscanner uitschakelt... In elk geval draait er nu eSafe Antivirus op.

Siglo · 06 jun 2005, 12:07

http://sandbox.norman.no/live_2.html?logfile=174039

Het lijkt zo een klassieke irc bot, waarvan de code op het net te vinden is, dus bestaan er vele varianten. Nav herkent amper nieuwe varianten, Kaspersky ziet ze allemaal.
Die pc is dus waarschijnlijk gebruikt om te spammen of dos-attacks uit te voeren. Die virussen gebruiken meestal gekende bugs (lsass, rpc,..), dus waarschijnlijk is die pc niet gepatcht en gefirewalled. En dan duurt het gemiddeld 10 minuten om zo een infectie op te lopen op het net.

Blue-Sky · 06 jun 2005, 12:15

Even gegoogled wat dit zo al kan uitschakelen? Je was dus niet de enige "meon", die last had met dit beestje.
http://gathering.tweakers.net/forum/lis ... 0749/last/

cptKangaroo · 06 jun 2005, 16:00

Hier is een tooltje dat de zaken toont die je normaal niet te zien krijgt: RootKitRevealer (SysInternals)
(opletten: het toont ook normale zaken zoals de NTFS controlebestanden! Je moet het resultaat dus kunnen interpreteren)

Maar ne goeien anti-virus zou dat soort batch bestandjes toch moeten wegfilteren -- een batch bestandje met blijkbaar commandos voor het veranderen van permissies, is "as dodgy as it gets" IMO.

06 jun 2005, 16:11

Rootkitrevealer heb ik gebruikt om te weten waar ik moest kijken ja.

herkato · 06 jun 2005, 16:11

cptKangaroo schreef: Maar ne goeien anti-virus zou dat soort batch bestandjes toch moeten wegfilteren -- een batch bestandje met blijkbaar commandos voor het veranderen van permissies, is "as dodgy as it gets" IMO.

AVG "free" heeft er vorig weekend zo eentje in de boeien geslagen, niet bij mij, ik had nog niet de eer, maar bij mijne gebuur.
't moet dus niet altijd duur zijn!

06 jun 2005, 16:13

Wat als ge als systeembeheerder net dat soort scripts maakt om bepaalde dingen te installeren, ik denk in de termen van een remoteinstall?

deej · 07 jun 2005, 15:11

meon schreef:Wat als ge als systeembeheerder net dat soort scripts maakt om bepaalde dingen te installeren, ik denk in de termen van een remoteinstall?

Op Windows kan je dan beter MSIs en Login scripts of zelfs SMS gebruiken naar mijn mening.

07 jun 2005, 15:35

Hier op het werk is SMS (nog) niet aan de orde, worden MSI's wel degelijk gebruikt voor remote installs, maar niet alle applicaties hier zijn windows-gebaseerd

En het loginscript doet al genoeg

Mensen klagen nu al dat het aanmelden te lang duurt ...

deej · 07 jun 2005, 15:42

Moet zeggen, wij integreren SMS bij onze klanten en in combinatie met AD en Server 2003 SP1 geeft dat toch veel controle over de eind PCs. Plus die SMS agent is wel krachtig. MS doet toch nog iets goed

.

07 jun 2005, 15:59

We zijn hier nog aan het kijken of we unicenter, sms of altiris gaan gebruiken, vandaar. (moeten rekening mee houden dat sommige vestigingen slechts 256 kbps SDSL-lijntjes hebben, bijvoorbeeld). -- en een heel aantal clients draait nog steeds NT 4 (en SMS is daar niet zo blij mee).

deej · 07 jun 2005, 16:06

Jamaar ja NT4... Misschien moet je eerst een upgrade van het park naar Windows XP plannen

.

07 jun 2005, 16:10

Windows XP?
Dat gaat ge die Digital Venturis FX-90's, Compaq Deskpro EP's en andere bejaarde pc's toch niet aandoen zeker!
70% is ondertussen toch al 2000, 2% windows XP en de rest is nog NT 4 ...
1800 pc's upgraden/vervangen doe je niet in 1-2-3, zeker niet als het bedrijf absoluut geen noodzaak ziet om daar geld in te steken (hoezo, ze werken toch nog?)
We hebben nog maar pas de meeste servers naar windows 2003 server gemigreerd. Nu is de citrix-farm aan de beurt en kunnen de oude sun-bakken misschien tegen het einde van het jaar uitgezet worden ...

deej · 07 jun 2005, 16:39

Hihi ik herken de problematiek

. Wacht tot dat er nog eens een slammer of blaster op de proppen komt en den business nen dag down ligt, uw budgetten zullen er rap zijn

.

Lukse · 07 jun 2005, 17:15

Deej_1977 schreef:Hihi ik herken de problematiek . Wacht tot dat er nog eens een slammer of blaster op de proppen komt en den business nen dag down ligt, uw budgetten zullen er rap zijn .

Is dat een hint?

deej · 07 jun 2005, 23:18

Gewoon een vaststelling. IT budgetten zijn doorgaans niet zo belangrijk tot den boel eens deftig platligt

.

Wij hebben al meerdere IT manager aan de lijn gehad die riep "stuur alle techniekers die je nog hebt want het spel ligt plat".

Vandaag eentje gehad waarbij een virus de AV software op de gateway (!) en op de desktops uitschakelde. Hij saboteerde gewoon de live-update functionaliteit en overschreef dan alle binaries

. Daarna downloade ie nog wat andere trojans. Ze worden alsmaar viezer die beestjes en de AV vendors kunnen ze niet meer bijbenen.

1 raad dus: altijd je systeem qua patches up-to-date houden en nooit attachments zomaar openen.

trobbelke · 08 jun 2005, 07:09

wat een geluk dat Norman Virus Control zelfs nieuwe, onbekende virussen stopt (de onbekende code wordt losgelaten in een virtual machine om te zien of het viraal gedrag vertoont)

bke · 08 jun 2005, 21:49

Nice tutorial meon

Ik heb nog nooit echt last gehad van virussen, ik zal het hopelijk ook nooit krijgen.

GenCTurK / sirh0t rootkit

Userbase AI hulp

Antwoord