how-to block ads
|
psloss
Premium,MVM
join:2002-02-24
Alpharetta, GA
| udp/137 activity may be tied to scrsvr.exe malware
OK, here's what we've found after exposing a box to this activity: there's a file being pushed around via Windows file sharing named "scrsvr.exe," which Lawrence Baldwin tells me is being referred to as "Backdoor.Opasoft" due to the heavy use of that website in the EXE. Relevant excerpts from the string dump from the EXE is posted below, though I've deliberately changed the URL strings.
(By the way, the last line the 'CKAAAAA' is the udp/137 probe part...the program appears to execute the NBT adapter status request itself...)
When I put this box online, it gets this file every 3-5 minutes. The file has a future timestamp on it, too Feb.6, 2106. It appears to propagate via open Windows file shares, so make sure you have tcp/139 blocked and if you need to have shares, make sure you have a password on all shares. The test system deliberately exposed a share with no password as we've seen other stuff propagate this way (like Nimda and Acebot).
More later if time permits...
Philip Sloss
---------- abbreviated string dump ----------------
Strings v2.04
Copyright (C) 1999-2001 Mark Russinovich
Systems Internals - »www.sysinternals.com
RegisterServiceProcess
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Software\Microsoft\Windows\CurrentVersion\Internet Settings
ScrSvr
ScrSvrOld
ProxyEnable
ProxyServer
\ScrSvr.exe
ScrSin.dat
ScrSout.dat
scrupd.exe
www.opasoft.com
GET /scheduler.php?ver=01&task=newzad&first=0 HTTP/1.1
Host:
GET /work/lastver HTTP/1.1
Host:
GET /work/scrsvr.exe HTTP/1.1
Host:
POST
/work/scheduler.php?ver=01&plain=0123456789ABCDEF&cipher1=0123456789ABCDEF&c
mpmask=FFFFFFFFFFFFFFFF&key=123456&res=0 HTTP/1.1
Host:
OK
PLAIN
CIPHER1
KEY
WINDOWS\scrsvr.exe
WINDOWS\win.ini
c:\tmp.ini
c:\windows\scrsvr.exe
windows
run
CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA | |
Name Game
Premium
join:2002-07-07
North Myrtle Beach, SC
| See this thread...and I think you will find that there are other things going on besides for this current 137.
______________________
Suspicious File
Has anyone heard of a file "SVRSCR.EXE"...it sems to get through undetected by firewalls and then keep calling home.
Any information on this file would be appreciated.
Thanks
»Suspicious File | |
psloss
Premium,MVM
join:2002-02-24
Alpharetta, GA
| said by Name Game  :
See this thread...and I think you will find that there are other things going on besides for this current 137.
It's possible, but given the similarity in names for that particular file, I'd be curious to see if the file is named scrsvr instead of svrscr...I've received three variants of this file, all in the 30KB size range, all same name...
As for whatever else is going on, I can't say. That's just what I'm seeing on a Windows box with its fly open.
Philip Sloss | |
Name Game
Premium
join:2002-07-07
North Myrtle Beach, SC
| reply to psloss
FYI..have problems in Italy..Japan and Poland.
Example:
_________________________
King: SCRSVR.EXE can hide a Trojan?
of George () of 30/09/02 (17:33)
Spiacente. I do not speak well Italian. Task that understands your question. I have a similar problem. I have made this:
Windows 98.
(1) When not connected to the Internet, get to Dial-up networking request to connect when am not running the email or browser.
(2) When connected, run "the System Monitor" - Dial-up adapter shows continuous bytes transmitted and bytes received.
Ran "the Process Viewer" to see active processes and found SCRSVR.EXE. Process Viewer shows that:
* SCRSVR.EXE has four threads running
* is linked to about 25 DLL' s like MSWSOCK.DLL, NETAPI32.DLL, NETBIOS.DLL, etc.
* SCRSVR.EXE version given shows it was created "9/27/2002 17:17"
In WIN.INI found that this the linens had been inserted:
run=c:\windows\scrsvr.exe
Loaded the SCRSVR.EXE into to text to scan for readable character strings and found "WWW.OPASOFT.COM". When try to connect my browser to that the Web address it is not found. But situated Google displays several cached pages from the OPASOFT indicating to company in Line, Latvia, that claims to specialize in screen savers.
To stop SCRSVR.EXE renamed SCRSVR.EXE and removed the "run" command from WIN.INI.
The would like to learn how this? (Trojan Horse) got into my system.
Of new, excuses I pray my use of English here. | |
Name Game
Premium
join:2002-07-07
North Myrtle Beach, SC
| reply to psloss
said by psloss :
said by Name Game :
See this thread...and I think you will find that there are other things going on besides for this current 137.
It's possible, but given the similarity in names for that particular file, I'd be curious to see if the file is named scrsvr instead of svrscr...I've received three variants of this file, all in the 30KB size range, all same name...
As for whatever else is going on, I can't say. That's just what I'm seeing on a Windows box with its fly open.
Philip Sloss
Yes Phil, I think also just a typo on that one..but me reference to other things happening on 137 at this time had to do with other issues.
Thanks..keep your eyes open. | |
psloss
Premium,MVM
join:2002-02-24
Alpharetta, GA
| reply to Name Game
In case anyone is interested, here's an extra string from the second 36KB variant I collected:
~Fun Loving Criminal~
This variant also has references to flcss.exe and FLC, along with static import links to functions like StartServiceCtrlDispatcherA...in other words, I would guess that this variant is trying to register itself as a service on NT/2000/XP -- and my guess would be the service EXE name would be flcss.exe and the service name would be FLC (fun loving criminal).
(Again, though, it only gets by systems with no tcp/139 and perhaps tcp/445 defenses. The latter I haven't investigated. Make sure you (not you specifically, Name Game  ) are blocking tcp/139 and tcp/445 from the Internet and also make sure any file shares that have to be exposed to the Internet have good passwords.)
Philip Sloss | |
Name Game
Premium
join:2002-07-07
North Myrtle Beach, SC
| reply to psloss
Your Fun Loving Criminal has ties to KLEZ
VSantivirus No. 559 - Año 6 - Viernes 18 de enero de 2002
W32/Klez.E. ¡Cuidado!... Nueva y peligrosa versión
Nombre: W32/Klez.E
Tipo: Gusano de Internet e infector de archivos
Alias: Klez.E, I-Worm.Klez.E, Stemdil, Klez.D, TROJ_KLEZ.E
Fecha: 17/ene/02
Fuente: F-Secure, Symantec, Panda, Sophos
¡Peligro de virus!. El Klez.E puede borrar sus archivos (más)
El virus que destruyó nuestra credibilidad (más)
Klez: la historia de los mensajes que usted no mandó (más)
Variantes:
W32/Klez.F
W32/Klez.G
Las diferencias con respeto al Klez.E son menores y sin importancia.
Herramientas:
Util para limpiar el Klez, BleBla.b, Navidad, Sircam, Goner
Descripción:
Klez.E (Klez.D para algunos antivirus) es una nueva variante del Klez. Descubierto el 17 de enero de 2002, de acuerdo al autor del virus, se trata de una auténtica "versión 2.0", que agrega características e ideas no presentes en las versiones anteriores. Sin embargo, aún conserva algunos errores que presentaba en estas.
Básicamente, es un gusano de envío masivo a través de Internet, en mensajes con asuntos y textos totalmente diferentes unos de otros, seleccionados al azar. Posee la misma característica de las versiones anteriores, de poder ejecutarse sin necesidad de abrir ningún adjunto, por el simple hecho de leer un mensaje infectado (o por verlo en el panel de vista previa).
Esta versión, también es capaz de copiarse a todas las unidades de red compartidas.
Ahora puede infectar por si mismo a otros ejecutables, además de liberar una nueva versión del virus W32/Elkern.
También es capaz de eliminar diferente software antivirus y de seguridad, instalados en la computadora infectada.
Las principales diferencias con las versiones anteriores son:
1. Se instala en el directorio SYSTEM de WINDOWS con un nombre como WINKxxxx.EXE, por ejemplo. Las "xxxx" corresponden a 2 o 3 letras seleccionadas al azar por el gusano. El registro es modificado para obligar a su ejecución en el reinicio de Windows.
2. El gusano ahora es realmente un virus, y puede infectar archivos .EXE, copiando su código al comienzo del archivo infectado. Cuando infecta un archivo .EXE, el gusano crea un archivo temporal con el mismo nombre del archivo infectado, pero con una extensión seleccionada al azar.
Encripta el cabezal del programa infectado. Cuando un archivo infectado se ejecuta, el gusano descomprime el código puro del archivo host al disco duro, con el nombre original más la seudo extensión MP8, y lo ejecuta. Cuando el programa finaliza, el gusano borra ese archivo temporal.
No infecta archivos con los siguientes nombres:
EXPLORER
CMMGR
MSIMN
ICWCONN
WINZIP
3. El virus posee capacidad de propagación en redes. La nueva versión del Klez, enumera los recursos de red disponibles, y se copia a si mismo a las unidades remotas dos veces en cada una. Una vez como un archivo ejecutable con simple o doble extensión, y la segunda vez como un archivo comprimido RAR, que puede tener también una o dos extensiones. El archivo RAR contiene el ejecutable del gusano con uno de los siguientes nombres:
setup
install
demo
snoopy
picacu
kitty
play
rock
La primera extensión del archivo RAR o la del ejecutable del gusano puede ser una de estas:
.txt
.htm
.html
.wab
.doc
.xls
.jpg
.cpp
.c
.pas
.mpg
.mpeg
.bak
.mp3
La segunda o la única extensión del ejecutable del gusano puede ser:
.exe
.scr
.pif
.bat
El nombre del archivo RAR así como el del ejecutable del gusano, puede ser randómico o tomado de otro archivo que el virus encontró previamente en el sistema infectado. Algunos ejemplos: QQ.PAS.EXE, KERNEL.MP3.PIF, DOCUMENT.SCR, etc.
4. Mata las tareas del software antivirus y de seguridad, así como las creadas por otros gusanos que pudieran estar activos (como Nimda, Sircam, Funlove y CodeRed).
Abre los procesos activos, y busca textos específicos en sus nombres. Cada vez que encuentra coincidencias, el gusano termina ese proceso. Los textos buscados son los siguientes:
Sircam
Nimda
CodeRed
WQKMM3878
GRIEF3878
Fun Loving Criminal
Norton
Mcafee
Antivir
Avconsol
F-STOPW
F-Secure
Sophos
virus
AVP Monitor
AVP Updates
InoculateIT
PC-cillin
Symantec
Trend Micro
F-PROT
NOD32
Además, finaliza los procesos que tengan los siguientes nombres:
_AVP32
_AVPCC
NOD32
NPSSVC
NRESQ32
NSCHED32
NSCHEDNT
NSPLUGIN
NAV
NAVAPSVC
NAVAPW32
NAVLU32
NAVRUNR
NAVW32
_AVPM
ALERTSVC
AMON
AVP32
AVPCC
AVPM
N32SCANW
NAVWNT
ANTIVIR
AVPUPD
AVGCTRL
AVWIN95
SCAN32
VSHWIN32
F-STOPW
F-PROT95
ACKWIN32
VETTRAY
VET95
SWEEP95
PCCWIN98
IOMON98
AVPTC
AVE32
AVCONSOL
FP-WIN
DVP95
F-AGNT95
CLAW95
NVC95
SCAN
VIRUS
LOCKDOWN2000
Norton
Mcafee
Antivir
TASKMGR
5. Borra del registro, las claves de autoarranque de diferente software de seguridad y programas antivirus, deshabilitando este software o parte de él, en el próximo reinicio de Windows.
6. Altera los archivos de chequeo de integridad y las bases de datos de algunos antivirus, que tengan los siguientes nombres:
ANTI-VIR.DAT
CHKLIST.DAT
CHKLIST.MS
CHKLIST.CPS
CHKLIST.TAV
IVB.NTZ
SMARTCHK.MS
SMARTCHK.CPS
AVGQT.DAT
AGUARD.DAT
7. Libera una nueva versión del virus Elkern ("version 1.1" según su autor), identificado como W32/Klez.b.
8. Puede corromper los archivos binarios ejecutables y los de datos involucrados.
9. Contiene el siguiente texto en su código, que nunca es mostrado:
Win32 Klez V2.0 & Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious
virus,Funlove,Sircam,Nimda,CodeRed and even include W32.Klez 1.X.
2.Well paid jobs are wanted
3.Poor life should be unblessed
4.Don't accuse me.Please accuse the unfair sh*t world
10. Los mensajes infectados enviados por esta nueva versión del Klez, se generan por medio de complicadas reglas, lo que hace posible la creación de una gran cantidad de mensajes todos diferentes, lo que dificulta su detección a simple vista. Además, puede crear frases como:
The attachment is a very dangerous virus that spread trough e-mail.
The file is a special dangerous virus that can infect on Win98/Me/2000/XP.
El cuerpo del mensaje, también puede estar en blanco.
Los asuntos, además, pueden ser seleccionados de esta lista:
How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures
Alrededor de fechas especiales, puede enviar mensajes acordes a ellas, como:
Happy Christmas
Happy New Year
Los adjuntos, pueden tener cualquiera de estas extensiones:
.PIF
.SCR
.EXE
Cómo las variantes anteriores del Klez, ésta utiliza la vulnerabilidad llamada "Incorrect MIME Header" (MS01-020, MS01-027) que permite la ejecución automática de los adjuntos mientras el mensaje simplemente es leído, o visto en el panel de vista previa.
Los destinatarios de los mensajes conteniendo archivos adjuntos con una copia del virus, que envía el gusano, son coleccionados de la libreta de direcciones de Windows (.WAB) y de la base de datos del ICQ si corresponde.
Klez utiliza su propia rutina SMTP de modo que puede enviar los mensajes sin recurrir a ningún programa de correo instalado en la computadora infectada.
Los mensajes enviados tendrán como remitentes direcciones tomadas de la siguiente lista:
pw246@columbia.edu
queen@helix.com.hk
yaya@wfc.com.tw
atoz@2911.net
anti@helix.com.hk
graph@helix.com.hk
reet@verizon.net
sani@2911.net
santurn@verizon.net
andy@verizon.net
little@hitel.net
gigi@helix.com.hk
bet@helix.com.hk
lily@88win.com
sun@verizon.net
linda@verizon.net
raise@wfc.com.tw
rainrainman@hongkong.com
karala@hongkong.com
sammychen@wfc.com.tw
flywind@wfc.com.tw
suck@wfc.com.tw
urlove@wfc.com.tw
tutu@88win.com
cheu@2911.net
xyz@2911.net
pet@2911.net
girl@edirect168.com
littlecat@hongkong.com
panshugang@chinese.com
pipti@21cn.com
certpass@21cn.com
powerhero@263.net
CR7269CH@terra.es
RUBENSOTOAGUI@terra.es
ACAMDR@terra.es
ol-petech@terra.es
ROSANAMOLTO@terra.es
MANUEL23@terra.es
cristian_soto@terra.es
carlos_nuevo@terra.es
Descripción técnica
Cuando se ejecuta por primera vez, el gusano se copia a si mismo a la carpeta de sistema de Windows (C:\Windows\System o C:\Winnt\System32 por ejemplo), con el nombre de WINKxxx.EXE donde las xxxx son caracteres al azar.
También modifica el registro de Windows para ejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinkXXX = C:\Windows\System\WinkXXX.exe
Forma manual de eliminar el gusano
1. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre las entradas que coincidan con las siguientes (la segunda corresponde al virus W32/Elkern.B que acompaña al Klez, ver »www.vsantivirus.com/elkern-b.htm ):
WinkXXX C:\Windows\System\WinkXXX.exe
WQK C:\Windows\System\Wqk.exe
4. Márquelas, recordando que en el caso de las "XXX" puede ser cualquier serie de caracteres al azar, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar cada clave.
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
7. Ejecute uno o dos antivirus al día. | |
Name Game
Premium
join:2002-07-07
North Myrtle Beach, SC
| reply to psloss
Re: udp/137 activity may be tied to scrsvr.exe malware
And the FLCSS.EXE is the name for funlove.4099 which at this time is the "number one" virus/worm in the world going all over the place.
____________________________--
VSantivirus No. 169 - Año 4 - Domingo 24 de diciembre de 2000
Primer informe: VSantivirus No. 98 - Año 3 - Viernes 3 de diciembre 1999
Nombre: PE_Funlove.4099
Tipo: Infector de archivos Win32
Alias: W32/Funlove, W32/Flcss
Tamaño: 4.099 bytes
Éste es un virus que infecta .EXE, .SCR, y archivos .OCX de 32 bits, en la computadora local y si su PC está conectada a una red, a cualquier PC conectada a esa red, a la que usted tenga acceso de lectura. Si se está ejecutando Windows NT 4.0 con Service Pack 3 o 4, el virus cambiará NTLDR y NTOSKRNL.EXE para dar acceso sin restricciones a todos los usuarios. Asegúrese de restaurar todos los archivos si usted se ve infectado por este virus.
Cuando se ejecuta, el virus crea un archivo llamado FLCSS.EXE en C:\WINDOWS\SYSTEM.
Infecta entonces a todos los archivos PE (EXE, SCR, y OCX), en las carpetas Archivos de programas, Program Files y Windows/WinNT, incluyendo sus subcarpetas.
Mientras el EXPLORER.EXE se encuentre en memoria, el virus se re-ejecuta cada vez que el sistema se reinicia. Como EXPLORER.EXE y otros archivos del sistema, se ejecutan siempre que Windows es cargado, este virus no puede ser limpiado desde Windows, ni aún desde una ventana MS-DOS bajo Windows, sin desactivarlo antes de la memoria.
El virus agrega el archivo FLCSS.EXE al final de los archivos infectados, por lo que estos aumentarán su tamaño en 4,099 bytes. Para ejecutarse, modifica entonces la dirección del punto de entrada del archivo infectado. O sea, cuando el archivo infectado es ejecutado, es el virus el que toma el control, y luego de su acción, se lo pasa al verdadero archivo.
Bajo un entorno de Windows NT, el virus modifica el testeo de integridad de NTOSKRNL.EXE (el kernel de Windows NT), modificando el archivo cargador de este (NTLDR), el cuál está ubicado en el directorio raíz, para que no despliegue un mensaje de error (pantalla azul). Luego, también es modificado el archivo NTOSKRNL.EXE ubicado en el directorio \WINNT\SYSTEM32. Esto le permite tomar los privilegios del administrador, leyendo y modificando todos los archivos. Además, intenta ejecutarse como un servicio.
El virus infecta todos los archivos en formato Win32 Portable Executable (PE), tales como .EXE, .SCR, y .OCX en Windows 9x y NT. También busca en todas las carpetas compartidas en una red con acceso de lectura permitido e infecta los archivos con esos formatos en ellos.
No modifica los archivos cuyo nombre contengan los siguientes caracteres, presumiblemente por tratarse de nombres de antivirus o archivos relacionados con estos:
aler
amon
avp
avp3
avpm
f-pr
navw
scan
smss
ddhe
dpla
mpla
Forma de limpiarlo manualmente
Como ya vimos, este virus no puede ser eliminado desde Windows en forma normal. Trend Micro tiene disponible en su sitio, dos pequeñas utilidades que permiten quitarlo de la memoria, aún desde Windows.
Para ello, en una computadora libre del virus, descargue estos archivos (de acuerdo a su sistema operativo):
Windows 9x:
»www.antivirus.com/vinfo/security···ll9x.zip
Windows NT:
»www.antivirus.com/vinfo/security···llnt.zip
Copie el contenido de esta utilidad (en el caso de Windows 9x, el archivo FLC_KILL9X.exe) a un disquete protegido, y luego, desde una ventana MS-DOS, teclee:
A:\FLC_KILL9X.exe [y Enter]
Esta utilidad borra el archivo FLCSS.EXE y también quita de la memoria la porción residente del virus. Crea además un subdirectorio llamado FLCSS.EXE, lo que inmuniza al PC de la acción de este virus (si existe una carpeta de igual nombre que un archivo, este archivo no podrá ser creado).
En Windows NT, refiérase a las instrucciones en el archivo README.TXT contenido en FLC_KILLNT.ZIP, ya que hay algunas diferencias.
Luego, reinicie la PC y ejecute el antivirus F-PROT desde un disquete, tal como se explica en nuestra página, para limpiar los archivos infectados.
Fuente: Trend Micro y Symantec
Relacionados:
13/dic/00 - Cómo ejecutar F-PROT en un disquete (actualizado) | |
Name Game
Premium
join:2002-07-07
North Myrtle Beach, SC |  reply to psloss
Sorry not in English | |
psloss
Premium,MVM
join:2002-02-24
Alpharetta, GA
| said by Name Game:
Sorry not in English
No problem...I finally found some words from the AV vendors:
»vil.mcafee.com/dispVirus.asp?virus_k=99729
»www.sarc.com/avcenter/venc/data/···orm.html
»www.trendmicro.com/vinfo/virusen···PASOFT.A
I think the variant I saw with the Fun Loving Criminal string in it was probably this new worm that had additionally been infected with the old FunLove virus. I haven't seen that since...still, pretty funny in a tragic sort of way. Whatever system that came from is incredibly hosed.
Philip Sloss | |
Name Game
Premium
join:2002-07-07
North Myrtle Beach, SC | reply to psloss
Boy I guess so..I am sure there are many systems out there like it. | |
R2
R Not
Premium,MVM
join:2000-09-18
Long Beach, CA
clubs:
edited
| If this hasn't been posted yet:
»securityresponse.symantec.com/av···orm.html
W32.Opaserv.Worm is a network-aware worm which attempts to replicate across open network shares. It will copy itself to the file "scrsvr.exe" on the remote machine. This worm also attempts to download updates from www.opasoft.com, although the site may have already been shut down....
_____________
Ah... I see it is just a different way to access the second link in psloss' post....:(
At least as of yesterday's IU file, this is not yet listed on my virus list. However, users have been reporting that NAV picks this up...
[text was edited by author 2002-10-01 09:37:44] | |
Name Game
Premium
join:2002-07-07
North Myrtle Beach, SC | reply to psloss
R2..they also had another late night update just for this one so if you go back you might get it added to yours. | |
R2
R Not
Premium,MVM
join:2000-09-18
Long Beach, CA
clubs:
| Yep!! There it is. The same date for the file, but the most recent one includes this Trojan/viurs. | |
|
