X Schließen Todesanzeige Fernmeldegeheimnis X Schließen

Login
 
News
 
Webcam
 
TV-Planer
 
Documents
 
Contact
 
Enemy Territory-Server (cdet.dyndns.org) is offline
offline
WORD OF GOD

Das wird böse enden.
Werner Enke as Martin

there are but 2 Gods

 

Overkill

Gesundheit!

+ 2 comments

Alles war ruhig heute Nacht. Hätte meinetwegen auch so bleiben können. Aber dann zerstörte ein Popup-Fenster die Idylle und bugsierte mir durch die Hintertür einen Trojaner in den virtuellen Vorgarten. Leider konnte ich nicht mehr rekonstruieren, welche Sicherheitslücke hier dazu ausgenutzt wurde. Bemerkbar machte sich der Schädling durch kleine Werbeeinblendungen, die mich zum Kauf einer Antiviren-Software überreden sollten.

Wichtig in so einem Fall: Bleiben Sie ruhig! Uhrzeit merken, Online-Verbindung kappen.
Der erste Gedanke, kreiste um die Frage, warum mein Virenscanner keinen Alarm geschlagen hatte. Die Signaturdateien waren von gestern oder vorgestern. Es schien sich also um eine recht neue Variante zu handeln.
Anhand der Uhrzeit konnte ich die ursächlichen Dateien schnell ausfindig machen - lediglich eine Handvoll Dateien waren im fraglichen Zeitraum auf der Festplatte angelegt worden. Nun schnell einmal mit dem Notebook das letzte Update für den Virenscanner besorgt und auf den Rechner kopiert. Jetzt erkannte der Scanner immerhin eine der nervigen Applikationen (mssearchnet.exe) als parasitären Eindringling. Leider brachte das manuelle Beenden des Prozesses nicht den gewünschten Erfolg. Das Programm wurde sofort wieder gestartet und ein Löschen der Datei damit verhindert.

In dieser Situation ist es von Vorteil, wenn man ein Betriebssystem zur Hand hat, das sich von CD starten lässt. In meinem Fall ein Windows Preinstallation Environment, das ich auch mit den passenden Treibern für mein Festplatten-RAID versorgen konnte. Mit etwas Glück dürfte es auch der abgesicherte Modus tun, verlassen wollte ich mich aber lieber nicht darauf.
Da nun keine Dateien auf der Systemplatte verwendet wurden, konnte ich die vorher anhand des Erstellungsdatums identifizierten Dateien (dfrgsrv.exe, interf.tlb, mssearchnet.exe, nvctrl.exe & stickrep.dll sowie eine Reihe zufällig benannter .tmp-Dateien hinter denen sich ebenfalls ausführbare Executables versteckten - alle im System32-Verzeichnis) löschen. Die Einträge um die Programme auch beim Systemstart auszuführen, fand ich nach einer kurzen Suche in der Registry unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\explorer. Sie ließen sich nach einem Neustart und der Rückkehr zum normalen Windows einfach löschen. Auch einen Eintrag zur stickrep.dll konnte ich schnell finden.
Des Weiteren hatte sich ein "Security Toolbar" genanntes ActiveX-Plugin installiert, das jedoch freundlicherweise über eine Deinstallationsroutine verfügte. Es hinterlässt jedoch zwei Schlüssel in der Registry unter HKCR\CLSID. Der erste lässt sich am String "SecurityToolbar" erkennen. Er verweist auf die "Security Toolbar.dll". Ein zweiter Schlüssel enthält den String "Nothing" und verweist auf eine Datei, die dem Schema "hp????.tmp" entspricht. Sind beide Schlüssel gelöscht, tauchen die Toolbar "Security Toolbar" und das Browser Helper Object "Nothing" nicht mehr in der Liste der IE-Add-Ons auf.

Das Ganze dauerte ein wenig länger als es sich hier liest, drei Stunden vergingen darüber. Im Anschluss daran packte mich die Neugier und ich unterzog die sichergestellten Überbleibsel einem Online-Virusscan, bei dem 15 verschiedene Programme auf jede Datei losgelassen werden. Danach werden die Ergebnisse der einzelnen Scanner präsentiert. Die Trefferrate war erschreckend gering: Von acht Dateien erkannte der beste Kandidat im Feld gerade einmal fünf, die durchschnittliche Quote liegt bei etwa 1,9 positiven Befunden. Die Ergebnisse im Detail sind hier verlinkt.
Zusätzlich verglich ich noch den kostenlosen Virenscanner FreeAV, der sich mit zwei bzw. drei Treffern im Mittelfeld behaupten konnte.

Nachtrag: Laut CastleCopsWiki handelt es sich um eine Variante der Malware SpyAxe namens SpywareQuake, die am 25. März erstmals in freien Wildbahn gesehen wurde.


piwi

immer up2date der tobias

und wenn es nur viren sind

Overkill

Re: immer up2date der tobias

Bin halt immer vorn mit dabei. Und als Trendsetter sage ich euch, der Trend geht zum Zweitvirus.