Story: Trügerische Sicherheit durch Virenkiller

Ein versierter PC User (nein, das ist nicht mir passiert!), verwendet für Internetbanking und diverse Onlinegeschäftsaktivitäten ausschließlich eine Linuxdistribution, da dieses OS weniger anfällig für diverse  Trojaner und andre Malware ist. Obwohl ansonsten sehr linuxlastig unterwegs, wird ab und an auch gespielt. Die „Spielerei“ findet dann in MS Windows statt.

Um sicherzustellen, dass sich auch unter MS Windows nichts „Böses“ in das System einnistet, wird eine namhafte Anti-Virus-Suite verwendet. (Es handelt sich hierbei NICHT um einen kostenlosten Scanner).

Weiter im Text: …nach der Gaming-Session will man sich schnell mal im Internet über aktuelle Reiseangebote gen Süden informieren… noch bevor man so richtig realsiert, dass man sich wohl besser FRÜHER -und zwar in der Vorsaison zwecks günstigerer Konditionen- um den Urlaub gekümmert hätte, „macht der PC so komische Sachen“:

  • Der PC ist gesperrt
  • zeigt eine Polizeiwarnung an (wobei das sehr stark variiert, da es zig Varianten des Trojaners gibt. In Österreich bekommt man oft das Originallogo der Polizei angezeigt, in Deutschland das der deutschen Polizei, manchmal aber auch FBI etc.)
  • man müsse 2 x EUR 50,00 überweisen (Stichwort Ukash)
  • es wurde unerlaubter Inhalt angeschaut
  • Taskmanager, abgesicherter Modus etc funktionieren NICHT mehr

Nun komme ich ins Spiel ;).

Mein erster Gedanke war: „Nimmste Desinfect von Heise, bootest von selbiger Live CD und scannst die Kiste“. Also hochgefahren, Virendefinitionen auf den letzten Stand aktualisiert und gescannt. Nach einiger Zeit schließlich die Ernüchterung. Keine infizierten Elemente gefunden!

Naja, dann weichen wir eben auf Bitdefender Live CD aus… Resultat: Nichts gefunden.

Dann mache ich etwas, was eigentlich gar keine gute Idee ist: Ich schließe die Platte per USB Adapter an meinen PC an und lasse die gesamte Platte von Norton Antivirus 2012 durchsuchen. Auch Norton attestiert der Platte, dass sie clean ist. Ebenso ergeht es mir mit Malwarebytes Antimalware.

Offenbar handelt es sich hierbei um eine bislang noch nicht bekannte Version eines Trojaners oder dgl.

Aber ein paar „Rettungsanker“ habe ich ja noch:

  • GMER (findet aber keine Auffälligkeiten)
  • Nai Getsusp (meldet schließlich einige Suspect-Files)

Um sicher zu gehen nehme ich Kontakt mit dem McAfee (NAI) Support auf und  übermittle die Suspect-Files.

Einen Tag später schickt mir Mcafee (NAI) eine Extra.dat. Dies is eine zusätzliche Virendefinitionsdatei, die in dem Fall den Trojaner : PWS – ZBOT finden und entfernen soll.

Auf einem PC, auf dem McAfee Virusscan läuft, spiele ich die Extra.dat ein und lasse wiederum einen Scan der Festplatte laufen.

Schließlich und endlich findet Virusscan den „Zbot“ und entfernt ihn.

Und die Moral von der Geschicht

…100% Sicherheit gibt es nicht!

Was man anhand dieses Beispiels eindrucksvoll vor Augen geführt bekommt ist, dass man sich – obwohl eigentlich ein recht guter Schutz besteht –  immer noch etwas „einfangen“ kann.

Mir stellt sich  allerdings die Frage, ob diese drive-by Attacke möglich gewesen wäre, wenn der User NICHT mit Adminrechten gearbeitet hätte.

Debitel Spam Mail mit Virus im Anhang

Heute habe ich eine -vermeintlich von Debitel stammende – Spammail erhalten. Diese Spamemail hatte den Anhang Daten.zip.

Nachdem ich in Österreich lebe bzw. kein Debitelkunde bin, kam mir die Sache natürlich sofort komisch vor. Kurzerhand also den Anhang auf www.virustotal.com hochgeladen und schon hagelte es Trojanerwarnungen.

Dabei handelt es sich offenbar um eine weitere Variante des Trojan.Ransomlock.p (Symantec), der den PC sperrt und danach EUR 100,- für eine „Freischaltung“ haben will.

Also bei folgender Email bitte aufpassen, wobei der Inhalt wahrscheinlich variiert:

Sehr geehrter xxx, diese Mail wurde bei der Vertragsunterzeichnung von 1 DebitelE-Plus Mobilfunk Verträgen angegeben. Die Simkarten wurden bei der Unterzeichnung zu Verfügung gestellt.

Sicher ist es Ihnen entgangen, dass die Bezahlfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Mahnungsschreiben haben Sie ebenso nicht reagiert. Summe Mai: 942,48 Euro Wir bitten Sie, den Gesamtbetrag in den nächsten 5 Tagen zu überweisen.

Die Handys sollten an Ihre Adresse versendet werden.

Leider waren mehrfache Zustellversuche nicht erfolgreich. Wir bitten Sie uns mitzuteilen was mit den beiden Mobilfunkgeräten (iPhone 4S) gemacht werden soll. In Beilage senden wir Ihnen die Vertragskopie, die Ausweiskopie des Vertrages, Rechnungen so wie den Einzelverbindungsnachweis. Teilen Sie uns bitte mit an welche Adresse die Telefone versendet werden sollen.

Mit besten Grüßen

(..Hier steht dann eine Gmbh..
…die ich entfernt habe … da die damit wahrscheinlich nix am Hut hat)

Nicht auffindbarer Trojaner verursacht Blacklisting

Hatte ich heute noch gar nicht daran gedacht, dass es eventuell ein typischer Montag werden sollte, wurde ich jedoch alsbald wieder auf den Boden der Realität zurückgeholt. Ein typischer Montag nimmt seinen Lauf. 🙂

Mein Server auf der Blacklist – na toll. Ein paar Emailprovider rejecten meine Emails bereits, da selbige die Blacklists zum eigenen (Spam)Schutz abrufen. Ich bemühe besagte Website des  „Blacklistinganbieters“, um zu sehen, was denn da los ist und werde auch sofort und sehr detailliert auf die Sachlage aufmerksam gemacht.

Offenbar hat einer meiner LAN Rechner eine Verbindung zu einer IP Adresse aufgenommen, die nur ein bereits seit 2008 im Umlauf befindender Bankingtrojaner nutzt. Um nun herauszufinden, welcher Rechner es genau ist, bemühe ich mein GOTT SEI DANK sehr umfangreiches Logging auf der Firewall. Hätte ich hier keine Logs, wäre ich ganz schön aufgeschmissen!

Nach kurzer Recherche ist der betroffene Rechner auch ausfindig gemacht. Nach Studie der „Charakteristiken“ des Trojaners, wird zu allererst mal nach einem Removaltool für diesen „Bösling“ gesucht und gefunden.

Nicht zu vergessen gilt es, die automatische Systemwiederherstellung von Windows XP auszuschalten. Und nun feuer frei… der Remover sucht… und sucht… und findet: NICHTS…?!?!

Ratlosigkeit?

Nein, als Präventivmaßnahme blocke ich alle ausgehenden Connections zu besagter Schädlings-IP, die anscheinend immer dieselbe ist. Natürlich ist das keine Problemlösung, jedoch verhindere ich hiermit weitere Kommunikation. Weitere Scanvorgänge mit 3 anderen Utilities und auch Antivirensoftware verpuffen ebenso ohne Ergebnis. Alle meinen: „Die Maschine ist clean.“

Handarbeit

Gut! Dann geh ich halt selbst suchen! Aufgrund der detaillierten Beschreibung des Trojaners, suche ich selbst nach Dateien und Registryeinträgen, die hinterlassen werden. Zu meiner Verwunderung finde ich aber auch hier keinen einzigen Hinweis darauf, dass ein Schädling am Werke ist.

Ok, zusammenfassend:

  • Virenscanner und div. Tools finden nichts
  • Manuelle Suche nach Spuren des Trojaner sind erfolglos. Es sind keine Spuren (abgelegte Dateien in /Temp oder /Windows/temp) zu finden

Nächster (letzter) Lösungsansatz, bevor eine Neuinstallation des Rechners die letzte Variante ist, ist das neu schreiben des MBR (MasterBootRecord) mittels XP CD und Recoverymodus, da sich der Schädling im MBR versteckt.

Der MBR wird erfolgreich neu geschrieben. Ich reboote das System und werfe, nachdem der PC hochgefahren ist, erneut einen Blick auf meine Logdateien. Normalerweise hat der PC bei jedem Neustart eine Verbindung zur „bösen“ IP aufgenommen.

Aha, siehe da – es wird keine Verbindung mehr aufgebaut. Schaut nach einem Erfolg aus.

Nichts desto trotz ist in so einem Fall, die bessere Variante, den PC neu aufzusetzen!

Übrigens handelte es sich lt. Spamlisting um diesen Schädling (obwohl einige Details nicht dafür sprechen), der nur unter Windows sein Unwesen treibt: http://www.symantec.com/security_response/writeup.jsp?docid=2008-010718-3448-99