Malware Removal Information

Ga naar de inhoud

Hoofdmenu

GencTurK rootkit

Infecties > Archief F - N

Deze infectie wordt oa verspreid via Messenger. Je krijgt een berichtje om een bepaalde link (beach) te controleren. Klik je op de link dan wordt de computer geïnfecteerd.
Volgende bestanden worden op de harde schijf geplaatst:
C:\WINDOWS\SYSTEM32\wkssvc32.exe
Kasperksy: Backdoor.Win32.SdBot.gen

C:\a.bat
Kaspersky Trojan.WinREG.Zapchast
Stopt een aantal services en voegt de wijzigingen in de registry uit.

C:\b.bat
Doet de wijzigingen aan het hosts bestand

C:\sirh0t32.pif
Kaspersk: IM-Worm.Win32.Kelvir.bm

C:\system.ini

C:\system.exe
Kaspersky Anti-Virus: Backdoor.Win32.HacDef.ad

Volgende map wordt aangemaakt:
C:\windows\system32\software

In de system32-map wordt in de map software een reeks bestanden (allen .exe) gedropt van 108.544 bytes groot (106 kb). Maak je gebruik van het P2P programma KaZaA dan wordt deze map opengesteld (geshared) voor andere gebruikers. Zo kan de infectie zich ook weer verder verspreiden.
Alle mappen/bestanden die het woord system bevatten zijn niet meer zichtbaar via windows verkenner. Systeemherstelpunten, System32-map, system-map lijken van de computer verdwenen.
Systeemherstel werkt niet meer.
Verder worden ook een aantal services van Windows uitgeschakeld:

  • Automatic Updates

  • Windows Firewall/Internet Connection Sharing (ICS)

  • Security Center

  • Messenger (niet de windows Messenger!)

  • Distributed Transaction Coördinator

  • Indexing Service

  • Routing and Remote Access

Sommige van deze services vind je enkel terug onder XP SP2: Security Center
Andere services zijn standaard onder SP2 reeds uitgeschakeld: Messenger
Ook kunnen er problemen zijn om in het register geraken: regedit opent niet of sluit onmiddellijk weer.
In het Hosts bestand worden een aantal verwijzigingen geschreven, zodat antivirus-sites niet meer bereikbaar zijn.

De registereditor (regedit) sluit onmiddellijk weer af wanneer je deze opent. Idem voor Hijackthis. Beide programma's werken wel in veilige modus.

In het register worden een aantal sleutels toegevoegd die er voor zorgen dat de infectie elke keer wordt uitgevoerd wanneer de computer start.
Ook worden er 2 services geïnstalleerd die goed verborgen zijn:

  • GencTurk RootKit

  • GencTurk RootKit Driver

Het uitvoerbare bestand voor de service GencTurk RootKit is c:\system.exe.
Het bestand dat de infectie telkens opnieuw installeert is wkssvc32.exe.

In een hijackthislog zie je:
O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe
O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe
O4 - HKCU\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe


Er is een andere variant die ook gebruik maakt van wkssvc32.exe maar andere servicenamen gebruikt en andere bestanden op de computer dropt.
De services zijn:

  • Windows Workstation

  • Windows Workstation Driver

De rootkit lijkt kompleter dan de vorige. Indien de infectie volledig actief is, zal hijackthis niet werken, ook niet in veilige modus.
Hernoem je Hijackthis.exe (maakt niet uit naar wat), dan werkt het wel.
Kenmerk in een hijackthislog is enkel een actief proces: local.exe
De opstartsleutels voor wkssvc32.exe onder O4 (run en runservices) zijn niet zichtbaar in een hijackthislog, de services die bij deze infectie horen (O23) ook niet.
Een andere kenmerk van deze infectie is bij het starten een dos-scherm c:\windows\system32\wkssvc32.exe
De mappen/bestanden met het woord system zijn verborgen (system32, de mappen met de systeemherstelpunten,..)
Bestanden/mappen die op de computer gedropt worden zijn:

  • c:\local.exe

  • c:\msdos.exe

  • c:\msdos.ini

  • C:\windows\system32\wkssvc32.exe

  • C:\windows\system32\Programs


Hoe verwijderen:

Om deze infectie te beëindigen is het noodzakelijk om wkssvc32.exe en system.exe (of local.exe) lam te leggen. Dit kan je doen door de bijbehorende bestanden te verwijderen met killbox, of door de registersleutels te verwijderen die er voor zorgen dat de infectie actief wordt telkens de computer opnieuw start.

Downloadt HostXpert
.
Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.
Download gencturkfix.exe.
Unzip het.
Sluit alle open programma's.
Open de map gencturkfix en dubbelklik op gencturkfix.bat.
De computer zal herstarten. Wanneer de computer opnieuw gestart is, zie je nog even een dosschermpje verschijnen. Als dit scherm verdwijnt is het tooltje klaar en zou de rootkit moeten verdwenen zijn.
Heb je problemen met het netwerkshares, dan gebruik je de bijgevoegde regfile "netwerk_shares.reg".
Gebruik je geen windows XP SP2, dan gebruik je de "remove_Security_center.reg".

GencTurK rootkit / wkssvc32.exe
Deze infectie wordt oa verspreid via Messenger. Je krijgt een berichtje om een bepaalde link (beach) te controleren. Klik je op de link dan wordt de computer geïnfecteerd.
Volgende bestanden worden op de harde schijf geplaatst:
C:\WINDOWS\SYSTEM32\wkssvc32.exe
Kasperksy: Backdoor.Win32.SdBot.gen

C:\a.bat
Kaspersky Trojan.WinREG.Zapchast
Stopt een aantal services en voegt de wijzigingen in de registry uit.

C:\b.bat
Doet de wijzigingen aan het hosts bestand

C:\sirh0t32.pif
Kaspersk: IM-Worm.Win32.Kelvir.bm

C:\system.ini

C:\system.exe
Kaspersky Anti-Virus: Backdoor.Win32.HacDef.ad

Volgende map wordt aangemaakt:
C:\windows\system32\software

In de system32-map wordt in de map software een reeks bestanden (allen .exe) gedropt van 108.544 bytes groot (106 kb). Maak je gebruik van het P2P programma KaZaA dan wordt deze map opengesteld (geshared) voor andere gebruikers. Zo kan de infectie zich ook weer verder verspreiden.
Alle mappen/bestanden die het woord system bevatten zijn niet meer zichtbaar via windows verkenner. Systeemherstelpunten, System32-map, system-map lijken van de computer verdwenen.
Systeemherstel werkt niet meer.
Verder worden ook een aantal services van Windows uitgeschakeld:

  • Automatic Updates

  • Windows Firewall/Internet Connection Sharing (ICS)

  • Security Center

  • Messenger (niet de windows Messenger!)

  • Distributed Transaction Coördinator

  • Indexing Service

  • Routing and Remote Access

Sommige van deze services vind je enkel terug onder XP SP2: Security Center
Andere services zijn standaard onder SP2 reeds uitgeschakeld: Messenger
Ook kunnen er problemen zijn om in het register geraken: regedit opent niet of sluit onmiddellijk weer.
In het Hosts bestand worden een aantal verwijzigingen geschreven, zodat antivirus-sites niet meer bereikbaar zijn.

De registereditor (regedit) sluit onmiddellijk weer af wanneer je deze opent. Idem voor Hijackthis. Beide programma's werken wel in veilige modus.

In het register worden een aantal sleutels toegevoegd die er voor zorgen dat de infectie elke keer wordt uitgevoerd wanneer de computer start.
Ook worden er 2 services geïnstalleerd die goed verborgen zijn:

  • GencTurk RootKit

  • GencTurk RootKit Driver

Het uitvoerbare bestand voor de service GencTurk RootKit is c:\system.exe.
Het bestand dat de infectie telkens opnieuw installeert is wkssvc32.exe.

In een hijackthislog zie je:
O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe
O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe
O4 - HKCU\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe


Er is een andere variant die ook gebruik maakt van wkssvc32.exe maar andere servicenamen gebruikt en andere bestanden op de computer dropt.
De services zijn:

  • Windows Workstation

  • Windows Workstation Driver

De rootkit lijkt kompleter dan de vorige. Indien de infectie volledig actief is, zal hijackthis niet werken, ook niet in veilige modus.
Hernoem je Hijackthis.exe (maakt niet uit naar wat), dan werkt het wel.
Kenmerk in een hijackthislog is enkel een actief proces: local.exe
De opstartsleutels voor wkssvc32.exe onder O4 (run en runservices) zijn niet zichtbaar in een hijackthislog, de services die bij deze infectie horen (O23) ook niet.
Een andere kenmerk van deze infectie is bij het starten een dos-scherm c:\windows\system32\wkssvc32.exe
De mappen/bestanden met het woord system zijn verborgen (system32, de mappen met de systeemherstelpunten,..)
Bestanden/mappen die op de computer gedropt worden zijn:

  • c:\local.exe

  • c:\msdos.exe

  • c:\msdos.ini

  • C:\windows\system32\wkssvc32.exe

  • C:\windows\system32\Programs


Hoe verwijderen:

Om deze infectie te beëindigen is het noodzakelijk om wkssvc32.exe en system.exe (of local.exe) lam te leggen. Dit kan je doen door de bijbehorende bestanden te verwijderen met killbox, of door de registersleutels te verwijderen die er voor zorgen dat de infectie actief wordt telkens de computer opnieuw start.

Download HostXpert
.
Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.
Download gencturkfix.exe
.
Unzip het.
Sluit alle open programma's.
Open de map gencturkfix en dubbelklik op gencturkfix.bat.
De computer zal herstarten. Wanneer de computer opnieuw gestart is, zie je nog even een dosschermpje verschijnen. Als dit scherm verdwijnt is het tooltje klaar en zou de rootkit moeten verdwenen zijn.
Heb je problemen met het netwerkshares, dan gebruik je de bijgevoegde regfile "netwerk_shares.reg".
Gebruik je geen windows XP SP2, dan gebruik je de "remove_Security_center.reg".



Met dank aan Sjaak voor medewerking in het onderzoek naar deze infectie.

       

Terug naar de inhoud | Terug naar het hoofdmenu