amsnmgr.exe baut selbstsändig eine internetverbindung her

#0
15.04.2004, 01:40
...neu hier

Beiträge: 3
#1 Hallo
seit dem 09.04.2004 stellt mein rechner selbstsändig die internet verbindung her heute habe ich mcafee firewall installiert und habe fest gestellt das amsnmgr.exe dafür verantwortlich ist nun habe ich versucht was über die exe heraus zu finden ohne größeren erfolg ich weiß nur das es ein virus ist dann habe versucht sie zu unter windows zu löschen was mir nur die fehler meldung brachte das es nicht möglich sei weil windows diese datei gerade benutzt dann habe ich die datei mit AntiVir - Personal Edition gescannt ohne resultat nun habe ich den rechner mit DOS gestartet und in das verzeichnis "c:\windows\system" gewechselt wo sich die datei befindet und habe sie dann mit hilfe des befehls "del amsnmgr.exe" gelöscht. Nun möchte ich gerne wissen was diese virus datei macht und kann man sie auch leichter los werden?

ich muß dazu sagen das ich einen DSL-Router habe und dieser die internetverbindung herstellt ohne das ich wie bei modems die verbindung bestätigen muß
Seitenanfang Seitenende
15.04.2004, 05:55
Moderator

Beiträge: 7805
#2 Ohne die Datei, schwer zu sagen, aber es koennte ein Spybot gewesen sein. Ich kopiere das mal hierhin, da Google die Seite anscheinend nur noch im Cache hat:

Specifics
This virus is 32-bit with a packed file size of 66,080 bytes. This virus has three infection vectors -

* spread to systems compromised by Netbus, Kuang or SubSeven Trojans
* spread to systems across a LAN/WAN using weak passwords and NetBIOS
* spread as a file hosted within Kazaa P2P file sharing

This virus acts as a bot by performing instructions received from a malicious user.


Loading At Windows Startup
If virus is run, it will create a Mutex named "spybot1.3m" and run as a process in memory. The virus will copy itself to the local system into System or System32 folder as "amsnmgr.exe" and set a registry entry to load the virus as a service at each Windows startup -

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
"Winsock2 driver" = AMSNMGR.EXE udps3pt1c!!! #sync s3pt1c (extra data)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Winsock2 driver" = AMSNMGR.EXE udps3pt1c!!! #sync s3pt1c (extra data)


IRC Connection
The virus will attempt to connect to an IRC server named "test.gigapowerx.net". Once connected, the virus will use a nick name such as "|[Sami]|" and also join a channel named "#sync s3pt1c". The virus will then await instructions from a malicious user such as to scan ports for SubSeven compromised systems.


SubSeven Infection Method
Systems which have the remote access Trojan SubSeven installed will have open connections on TCP port 27374 by default - this virus uses that open port as a vector of virus infection.

If the virus is instructed to scan for Sub7 systems, the command will typically be in this format -

scan ###.x.x.x 27374 2 sub7

Where "###" is a chosen number on a Class A subnet, and ".x.x.x" represents all consecutive numbers on that subnet. The number "27374" relates to the destination port the virus should send a SYN packet to. Systems which respond with an ACK means port 27374 is available and that IP address becomes a target for the virus. The virus uploads itself to that system via port 27374, and the file is then run.

The virus also supports distribution to systems already compromised by Kuang and Netbus remote access Trojans.


Kazaa Spread Capability
The virus modifies the Kazaa P2P file sharing application environment by creating a new share point folder onto the infected system. The virus creates the folder "kazaabackupfiles" into the existing Kazaa shared files folder, then adjusts the registry to direct Kazaa to share files from this folder -

HKEY_CURRENT_USER\Software\Kazaa\LocalContent
"Dir0" = 012345:%Kazaa Share%\kazaabackupfiles\

The virus then writes itself to that folder as the file name "download_me.exe"


NetBIOS Transport Spread Capability
The virus will attempt to connect to systems across a network WAN/LAN using the Admin$ share point. The virus uses a built-in table of over 1700 names and passwords to log on to the target system. If the system can be compromised, the virus will attempt to upload itself to the target IP, and remotely execute the virus.


Anti-Monitoring Technique
The virus monitors access to tasks by these names, and if they are run, the virus will terminate them -

NETSTAT.EXE
TASKMGR.EXE
MSCONFIG.EXE
REGEDIT.EXE
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.04.2004, 06:46
...neu hier

Themenstarter

Beiträge: 3
#3 das ist mir zu viel fachbezogenes verstehe nicht alles aber trotzdem danke bin auch bei googel gewesen
Seitenanfang Seitenende
15.04.2004, 08:06
Moderator

Beiträge: 7805
#4 Das wichtigste:

Es wird ueber Kazaa verteilt und es versucht sich ueber offene Netzwerkverbindungen zu verbreiten. Auch versucht es sich in bereits mit Netbus, Sub7und kuang verseuchte Rechner "einzunisten".

Wenn dein Router richtig konfiguriert ist, wuerde ich mal auf Moeglichkeit eins tippen.

Nachtrag: Deinen Rechner neu aufzusetzen und alle Passwoerter zu aendern, bzw zu "optimieren" waere nicht die schlechteste MOeglichkeit, dein System richtig sauber zu bekommen.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 15.04.2004 um 08:08 Uhr von raman editiert.
Seitenanfang Seitenende