NeT-BoT.exe

Zitat von GRUMBLE

devil: wie hast du ihn weggebracht?

das system war erst frisch mit 2 os's aufgsetzt, war no ka software oben...

also ich hab mim anderen os gebootet, die net-bot.exe gelöscht, pc mim 'verseuchten' win gebootet, firewall installiert - seit dem is a ruah...

Ok jungs ich hab ihn folgendermassen wegbekommen:
Net-bot.exe aus der windows/system32 aufn desktop gezogen dann netzwerk kabel ausn modem gezogen mitn deskmanager geschlossen(prozess beendet) und dann in den papierkorb damit und gelöscht. ******* netbot macht online games unspielbar (megalags)

Tag zusammen!
Ich bin derzeit Systemadministrator und hatte auch schon auf einigen unserer Rechner diese NeT-BoT.exe gefunden. BSI (deutsches Bundesamt für Sicherheit in der Informationstechnologie) und H+BEDV (Hersteller von AntiVir) haben meine eMails ignoriert, in denen ich auf diesen Schädling hingewiesen habe. Hier nun alle Informationen, die ich bisher gesammelt habe:

Datei liegt unter %System%\NeT-BoT.exe
Wobei die %System% Variable i.d.R. C:\Windows\System32 bei WinXP ist.

folgende Einträge in der Registry wurden erstellt:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"system32"="NeT-BoT.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"system32"="NeT-BoT.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys32]
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,4e,00,54,00,5c,00,\
73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,65,00,54,00,2d,\
00,42,00,6f,00,54,00,2e,00,65,00,78,00,65,00,22,00,20,00,2d,00,73,00,65,00,\
72,00,76,00,69,00,63,00,65,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sys32]
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,4e,00,54,00,5c,00,\
73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,65,00,54,00,2d,\
00,42,00,6f,00,54,00,2e,00,65,00,78,00,65,00,22,00,20,00,2d,00,73,00,65,00,\
72,00,76,00,69,00,63,00,65,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="net-bot.exe"

folgende Internet-Seiten werden durch die "hosts"-Datei geblockt:
127.0.0.1 http://www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 http://www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 http://www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 http://www.avp.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 http://www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 http://www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 http://www.trendmicro.com


Bisher fand ich ihn nur auf WinXP bzw.Win2000 Systemen.
Meine Vermutung ist, dass er eine ähnliche Sicherheitslücke wie der Sasser Wurm verwendet, also unbedingt Windows Update durchführen. Eine Firewall sollte zusätzliche Sicherheit bieten. Auch war auffällig, dass häufig nach dem Entfernen bei einem Virenscann eine Variante des Nachi-Wurms gefunden wurde. Ausserdem vermute ich auf Grund von benachbarten Registry-Einträgen, dass ein System Dienst namen "gmaispc" dazu gehört, der vermutlich Trojaner-ähnliche Funktionen bietet.

Zur Entfernung:
Mir ist bis jetzt kein Virenscanner bzw. Anti-Spyware-Software bekannt, die diesen Schädling findet. Seit dem ich im Abgesicherten Modus, die NeT-BoT.exe quarantänisiert, die obigen Registry-Einträge entfernt habe und die "hosts"-Datei wiederhergestellt habe, hab ich wieder Ruhe.

Gute Idee egentlich! eMail wurde versand und ich habe einen Eintrag im Forum gepostet.

Hallo plateenum!

Die hosts Datei sollst Du nicht erstellen, die sollte sich schon auf Deinem System befinden! Wenn Du Win XP verwendest solltest Du sie im Verzeichnis
C:\Windows\System32\drivers\etc\
finden.
Ansonsten einfach mal danach suchen.

Und dann kannst Du die mit einem einfachen Texteditor öffnen.
Die Standard Datei sieht dann so aus:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost


Alle weiteren Einträge dürften nicht mit einem 127.0.0.1 beginnen, da Dein Rechner sonst die Anfragen an sich selber richtet.

Viel Erfolg!
Uli Wollesen