How to remove watermark.exe , qtplugin.exe

watermark.exe , qtplugin.exe
(Trojan Zbot +Win32.Ramnit > infection .exe + .dll , htm , html)

MD5 : cb717c90c520627b4b1022538a807f41
SHA1 : 235d9f78138022d92a741e9038c55ede28e8080
...
AntivirusVersionLast UpdateResult
AhnLab-V32010.11.19.002010.11.18-
AntiVir7.10.14.542010.11.19-
Antiy-AVL2.0.3.72010.11.19-
Avast4.8.1351.02010.11.19-
Avast55.0.594.02010.11.19-
AVG9.0.0.8512010.11.19-
BitDefender7.22010.11.19-
CAT-QuickHeal11.002010.11.09-
ClamAV0.96.4.02010.11.19-
Command5.2.11.52010.11.19-
Comodo67722010.11.19-
DrWeb5.0.2.033002010.11.19-
eSafe7.0.17.02010.11.18-
eTrust-Vet36.1.79862010.11.19-
F-Prot4.6.2.1172010.11.19-
F-Secure9.0.16160.02010.11.19-
Fortinet4.2.254.02010.11.18-
GData212010.11.19-
IkarusT3.1.1.90.02010.11.19-
Jiangmin13.0.9002010.11.19-
K7AntiVirus9.68.30302010.11.19-
Kaspersky7.0.0.1252010.11.19-
McAfee5.400.0.11582010.11.19-
McAfee-GW-Edition2010.1C2010.11.19-
Microsoft1.64022010.11.19-
NOD3256342010.11.19-
Norman6.06.102010.11.19-
nProtect2010-11-19.022010.11.19-
Panda10.0.2.72010.11.19Suspicious file
PCTools7.0.3.52010.11.19-
Prevx3.02010.11.19-
Rising22.74.03.082010.11.19-
Sophos4.59.02010.11.19-
SUPERAntiSpyware4.40.0.10062010.11.19-
Symantec20101.2.0.1612010.11.19-
TheHacker6.7.0.1.0862010.11.18-
TrendMicro9.120.0.10042010.11.19-
TrendMicro-HouseCall9.120.0.10042010.11.19-
VBA323.12.14.22010.11.19-
VIPRE73522010.11.19-
ViRobot2010.10.30.41212010.11.19-
VirusBuster13.6.50.02010.11.19-

...
Files added
C:\Program Files\Microsoft\WaterMark.exe
C:\WINDOWS\system32\qtplugin.exe
C:\WINDOWS\Temp\~TMAE.tmp
C:\Documents and Settings\All Users\Documents\Server\hlp.dat
C:\Documents and Settings\All Users\Documents\Server\sphlp.dll
C:\WINDOWS\system32\dmlconf.dat

Random filename (G:\ = USB Drive)
G:\RECYCLER\S-8-3-64-1048448514-4065553481-533076170-7412\AmXrPwdM.exe
G:\RECYCLER\S-8-3-64-1048448514-4065553481-533076170-7412\hOSNkgcG.cpl

G:\Copy of Shortcut to (1).lnk > lnk runner or lnk stater
G:\Copy of Shortcut to (2).lnk > lnk runner or lnk stater
G:\Copy of Shortcut to (3).lnk > lnk runner or lnk stater
G:\Copy of Shortcut to (4).lnk > lnk runner or lnk stater
G:\xxxx.tmp (Running numper) > lnk runner or lnk stater
G:\autorun.inf

http://viruslab.blog.avg.com/2010/07/dangerous-flash-drives.html

Keys added
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\LowRegistry

Values deleted
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR: 0x00000000

Values added
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
RegistryMonitor1: "C:\WINDOWS\system32\qtplugin.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\
RegistryMonitor2: "15508748"

Values modified
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Userinit: "userinit.exe,,c:\program files\microsoft\watermark.exe"

HKLM\SYSTEM\CurrentControlSet\Enum\PCI\VEN_8086&DEV_24C2&SUBSYS_013A1028&REV_01\3&172e68dd&0&E8\Device Parameters\”DetectedLegacyBIOS” = “1″

HKLM\SYSTEM\ControlSet001\Services\sr\Parameters\FirstRun: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\sr\Parameters\FirstRun: 0x00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Templates: "C:\WINDOWS\system32\config\systemprofile\Templates"
-----------------------------------------------------------------------
ไวรัสลูกผสมตัวนี้ร้ายนะครับ ติดผ่านทาง USB drive โดยไม่ใช้ช่องทาง autorun.inf แต่เป็นการเจาะผ่าน ทาง .lnk shortcut file ซึ่งเมื่อ Windows Explorer แสดง icon ของไฟล์ .lnk นั้น ไวรัสก็จะทำงานและวิ่งเข้าเครื่องทันทีครับ ตามที่เคยมีรายงานมา่ก่อนหน้านี้แล้ว และที่สำคัญ ไฟล์ .exe และ .dll ของโปรแกรม จะติดไวรัสตัวนี้ และไม่สามารถ clean หรือ repair ได้
ต้อง delete ทิ้ง ชื่อที่ Antivirus รู้จักแล้วคือ Win32.Ramnit
โดย virus จะสร้างไฟล์ autorun.inf และ้ไฟล์แบบ random .exe ไว้ใน recycler ใน USB drive
และสร้างไฟล์ Copy of Shortcut to (1 - 4).lnk

ผมก็เพิ่งเคยทดสอบไวรัสแบบใหม่นี้เป็นตัวแรก หาวิธีแก้อยู่นาน ถึงแม้จะลง antivirus และ update แล้ว Scan เรียบร้อยแ้ล้ว สักพักจะกลับมาเหมือนเดิม เพราะ virus ได้ติดไฟล์ .exe ในระบบไปแล้ว ลองติดตั้ง Avast แล้วใช้ boot time scan ก็ยังกลับมาเหมือน
Avast , ESET , AVIRA นั้นไม่สามารถ repair ไฟล์ที่ติดเชื้อได้

ตัวอย่างดังภาพ
Photobucket

ถ้าลำพัง trojan Zbot นั้นกำจัดได้ไม่ยาก โดยใช้ Zbot killer ของ kaspersky
แต่ว่าเ้จ้า zbot ตัวนี้ได้เปิดประตูหลัง ให้ไวรัส ramnit เข้ามาด้วยทำให้ไฟล์ในเครื่องนามสกุล .exe ,.dll ,.html ติดไวรัสไปด้วย โดยเครื่องที่ติดไวรัสนี้ แล้ว antivirus รู้จักหลังจากติดไปแล้วนั้นแก้ไขได้ลำบาก


ตัวอย่างไวรัส ที่ผม capture ไว้
Trojan Zbot (.exe) + Ramnit(.cpl)





===================================================
วิธีแก้ไวรัส Win32.Ramnit + lnk runner
===================================================
ใช้ Recuse CD (กำจัดได้สะดวกที่สุด)


โปรแกรม Antivirus ที่แก้ไขไฟล์ที่ infected ได้คือ
Kaspersky
Dr.WEB
Bitdefender

ตัวอย่างการทดสอบด้วย Kaspersky Virus Remove Tool

Photobucket


Photobucket

ตัวอย่างการทดสอบด้วย Dr.WEB

Photobucket


ตัวอย่างการทดสอบด้วย Bitdefender

Photobucket

ข้อแนะนำเพิ่มเติม

1.ให้ปิด function autorun และปิด system restore

2. ให้ติดตั้ง path
หรือลงตัวนี้เพิ่ม


ควรติดตั้งโปรแกรม Freeze ระบบ windows ก็จะเป็นการดี เช่น Returnil (freeware)
ใช้สิทธิระดับต่ำคือ Limit user แ่ทนการ log on ด้วยสิทธิ Admin


อันนี้เป็น ramnit version ก่อนหน้านี้

link อื่นๆ


at 9:24 AM
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)