Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Ein grauslicher Zombi

jueki / 8 Antworten / Baumansicht Nickles

Man bat mich um Hilfe bei einem PC, der laufend ins Internet sendete und empfing.
Der Eigentümer bemerkte das, weil es ewig dauerte, bis er eine einfache mail senden konnte.
Ich installierte dann mal schnell mein Traffic- Tool (TrafficMonitor) und stellte fest, das der mit maximaler Performance sendete...

Daraufhin hab ich den sofort vom Netz getrennt und mit dem neuen Avira AntiVir Professional untersucht.
Ein klassischer Zombi nach meiner laienhaften Auffassung.
Avira teilte mir mit, das sich im Ordner "System Volume Information" Schädlinge befinden.
Hier ein Text:

D:\System Volume Information\_restore{805468D7-50BF-425C-813D-C7291BFD683E}\RP2\A0000461.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen


Bevor ich den PC formatierte, habe ich mir die Besitzrechte dieses Ordners übernommen und hineingeschaut.
Besser gesagt - der Reihe nach diese Ordner aller 6 vorhandenen Partitionen.
Nur (seltsam!) der Ordner in C war leer - bei allen anderen, den logischen Laufwerken also, beinhaltete dieser Ordner zwischen 196 bis 274MB.
Inhalt - weitere Ordner "RP0" bis "RP18".

Hab, wie gesagt, den sofort vom Netz getrennt und nach der obigen Aktion formatiert.
Könnt Ihr Euch einen Reim darauf machen, was da wirklich los war?

Danke für Eure Meinungen.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
shrek3 jueki „Ein grauslicher Zombi“
Optionen

Manchmal schaue ich auch genauer in infizierte Rechner, um einen Eindruck von der Art und Weise zu bekommen, wie und wo sich Schädlinge festsetzen.

Die Systemwiederherstellungspunkte geben da aber nur bedingt Aufschluss, da diese Wiederherstellungspunkte afaik nicht aktiv am Traffic ins Internet beteiligt sind.

Interessanter sind da schon die temporären Verzeichnisse, der Ordner "System32", der Autostart und eine Durchsicht der Ordner "Programme" und "Program Files" sowie der Internet Cache.

Diese Ordner-Aufzählung ist nicht vollständig, aber fast immer ein Aufenthaltsort von Schädlingen.

So ist auch z.B. der Ordner Benutzer\Anwendungsdaten ein beliebter Tummelplatz.

Rootkits findest du dort natürlich nicht - es ist aber durchaus interessant, mal zu beobachten, wie z.B. Blacklight von F-Secure vorgeht, um gefundenen Rootkits an den Kragen zu gehen.

Löschen geht nicht - Blacklight kann diese Schädlinge sogar (oft) nicht bei einem Neustart löschen, da diese schon aktiv sind, bevor die Befähigung zum Löschen geladen wird.

Aber es gibt ein winziges Zeitfenster beim Neustart, in dem Blacklight diese Rootkits wenigstens umbenennen kann, noch bevor sie volle Macht erlangt haben.

Dadurch werden sie sichtbar und können problemlos händisch entfernt werden.

Das Hauptproblem sind meiner Meinung nach aber all die anderen Schädlingsreste, die fast überall verstreut im System herumlungern und für erneute Rootkits sorgen können.

Ob man nur lange Zeit tief genug sich mit dieser Materie auseinandergesetzt haben muss, um ein ernst zu nehmender Gegner für Schädlinge zu werden?

Ich weiß es nicht - weiß eigentlich nur, dass ich bisher noch niemandem begegnet bin, der aus "echtem Wissen" heraus darauf eine Antwort hätte geben konnen.

Ich bin ein wenig abgeschweift - wollte dir ursprünglich nur sagen, dass ein einzelner Fund in den Systemwiederherstellungspunkten ein zu dünner Ansatz ist, um deine Frage zu beantworten.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
jueki shrek3 „Manchmal schaue ich auch genauer in infizierte Rechner, um einen Eindruck von...“
Optionen

Danke für Deine Antwort.
"...ein einzelner Fund in den Systemwiederherstellungspunkten"
Du meinst, das sind alles Systemwiederherstellungspunkte?
Hm - aber ich habe diesen PC selbst vor einiger Zeit installiert. Und eine meiner ersten Handlungen nach der Installation des OS ist, diese Systemwiederherstellung generell abzuschalten. Das war diese definitiv auch noch!
Diese beiden Meldungen, den Ordner "System Volume Information" wurden gemacht:

D:\System Volume Information\_restore{1087C527-F745-416C-A899-F8C959EA2E1F}\RP1\A0000515.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
D:\System Volume Information\_restore{805468D7-50BF-425C-813D-C7291BFD683E}\RP2\A0000461.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen

und diese:

D:\Spiele\Moorhuhn1\moorhuhn.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn
D:\XP- Manipulation\KeyChanger\keyfinder_v1.51.exe
[0] Archivtyp: RAR SFX (self extracting)
--> findkey.exe
[FUND] Ist das Trojanische Pferd TR/Agent.542720.C

Weiter nichts.
Da mir bislang nicht bekannt war, das sich im Ordner "SysVoluInf" exe- Dateien befinden können und das diese bei abgeschalteter Systemwiederherstellung derart anschwellen können, vermutete ich sowohl den Trojaner, als auch sein "Material" dort drinnen.
Das scheint nicht richtig zu sein?
Schade, das wäre sicher interessant gewesen, da genauer nachzuforschen.
Wie schon gesagt - mich verblüfft, das nur diese Systemordner in den logischen Laufwerken mit um die 200MB gefüllt waren - der gleiche Ordner in C lediglich die Dateien
MountPointManagerRemoteDatabase = 0b
und
tracking.log = 20kB
enthielt.
Irgend etwas muß doch diesen Traffic verursachte haben, irgend etwas muß doch gesendet haben und gesendet worden sein.
Schade, wird wohl nicht mehr rauszukriegen sein.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
shrek3 jueki „Danke für Deine Antwort. ...ein einzelner Fund in den...“
Optionen

Schädlinge sollten durchaus dazu in der Lage sein, die Systemwiederherstellung zu aktivieren.

Ob das auf diesem Rechner der Fall war, wissen wir nicht.
Die Aktivierung der Systemwiederherstellung könnte aber auch dessen Besitzer veranlasst haben.

Der Ordnername "restore" verrät schon, dass es sich mit höchster Wahrscheinlichkeit um einen Wiederherstellungspunkt handelt:
D:\System Volume Information\_restore{1087C527-F745-416C-A899-F8C959EA2E1F}\RP1\A0000515.exe

Die Moorhuhn- und Keyfinderfunde halte ich für nicht relevant.

Beim Überprüfen des Internet-Traffic kann man den Task-Manager zum Abschießen der Prozesse verwenden.
Dann (wenn sich Erfolge einstellen) per Googlesuche nach Infos zum abgeschossenen Prozess suchen.

Auf diese Weise ließe sich eher eingrenzen, wie es überhaupt zu der Infektion gekommen ist.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Synthetic_codes shrek3 „Schädlinge sollten durchaus dazu in der Lage sein, die Systemwiederherstellung...“
Optionen

um herauszufinden welche anwendung tatsächlich sendet, gibt es dann noch den beliebten netstat -a von der commandozeile. der verrät, welche ports geöffnet sind und wohin. meistens sieht man verdächtige verbindungen sofort. um dann herauszufinden, welche anwendung sendet. ICh persönlich bevorzuge das Tool von AnalogX.

'); DROP TABLE users;--
bei Antwort benachrichtigen
SoulMaster jueki „Danke für Deine Antwort. ...ein einzelner Fund in den...“
Optionen

Ich hatte auch einmal eine solche Viren Meldung von GDATA 2008.
Habe das file erst mal in die Quarantäne verbannt und dort schmoren lassen.

Dann habe ich den "angeblichen" Trojaner im GDATA LAB analysieren lassen. Keinerlei Reaktion von GDATA!. Ich meine keine Rückmeldung.

Danach habe ich auf den sog. Trojaner, auf einer anderen Kiste den Kaspersky und den MCAffe, natürlich immer nur eine Security Suite angesetzt. Und was kam raus??? Nothing, nada nichts.
KEINE INFEKTIONS Gefahr, nichts Verdächtiges gefunden.

Na nun wurde ich natürlich richtig wachsam und habe GDATA direkt an gemailt und explizit um Aufklärung gebeten. Erst hat man mich wie immer auf die FAQs gehetzt.
Da gabs nichts Neues. Dann hab ich eben mal Uncle Google angetriggert und fand einiges in den Foren. ALs Ergebnis kam folgen heraus:
Sämtliche Virenscanner sind auf einem bestimmten aktuellen Stand, klar. Bei der unglaublichen Vielfalt der "STÖRENFRIEDE" die in den Weiten des Netzes herumgeistern ist dies ja jedem klar. Allerdings lässt es sich nun NICHT mehr vermeiden, dass die eine oder andere "MASKE" einem tatsächlichen Schädling eben sehr, sehr ähnlich ist.
Folge, die Proggies, Antivir, GDATA, KAspersky und andere reagieren mit VIRENALARM obwohl dies oftmals nicht gerechtfertigt ist.
Du erwähnst selbst eine der verdächtigsten Anwendungen überhaupt, die keyfinder.exe. Key* finder und exe)
Ist ein Freewaretool m. W. von Software Load.
Das Schlüsselwort KEY* ist für Security Suites ein ROTES MAHNMAL.

GDATA hat am keyfinder solange und beharrlich rumgenörgelt, bis ich es in die Tonne gehauen habe und nur noch den Kaspersky verwende. Der ist nicht ganz so sensibel.
Ich weiss natürlich genausdo wie ihr alle, das Kaspersky auch nicht fehlerfrei sein KANN!

Ich würde die: A0000515.exe und die A0000461.exe mal zum AntiVir LAb einsenden und sonst mal aud einen USB Stick kopieren und dann eine anders Virenproggy darauf ansetzen.

Ich kann nur sagen , die ganze Sucherei und Analyse der ganzen unterschiedlichen Auslegungen hat mich unangemessen viel Zeit ( zu viel) gekostet. Man kann also nicht per se sagen das ist ein "echter" Schädling, LEIDER.

Aber ich reagiere eben auch auf Meldungen, manchmal auch etwas überzogen:-)

Gruß
SoulMAster






bei Antwort benachrichtigen
jueki Nachtrag zu: „Ein grauslicher Zombi“
Optionen

Ich bedanke mich noch einmal für die Antworten.
Mir ging es in der Hauptsache darum, das sich ein oder mehrere (von AntiVir dessen bezichtigt) Schädling in "System Volume Information" befand - und mehrere hundert Megabyte Daten.
Die Systemwiederherstellung war deaktiviert (und wurde, @Shrek, auch nicht vom User aktiviert).
Das eben hat mir sehr verblüfft - wird doch dieser Ordner vor jedem Zugriff geschützt und dessen Inhalt strengstens geheim gehalten!
Tatsache ist - nachdem ich feststellte, das der PC mit 70kB/s sendete, habe ich natürlich auch im Taskmanager nachgeschaut.
Und dort absolut nichts gefunden - Leerlauf 99%.
Der User benötigte diesen PC, also habe ich nach dem Antivir- Scan (von CD) eben die fragliche Partition mit Acronis DiskDirektor Suite 10 sicher gelöscht und formatiert - anschließend das saubere Image mittels Acronis TrueImage v11 wieder installiert - fertig.
Wenn mir so etwas mal wieder unterkommt, werde ich davon ein Image erstellen und das auf meinem PC untersuchen.
Hab ja nun einige wertvolle Hinweise dazu von Euch bekommen.
Danke noch einmal - und ein schönes Wochenende noch.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
shrek3 jueki „Ich bedanke mich noch einmal für die Antworten. Mir ging es in der Hauptsache...“
Optionen

Wie schnell einen doch "Halbwissen" ereilen kann...

Da glaubt man jahrelang, anhand des Task-Managers bei Internettraffic eine nennenswerte CPU-Auslastung feststellen zu können, war immer davon so sehr überzeugt, dass man es nie für nötig hielt, dieses zu überprüfen - doch was ist..?

Pustekuchen.

Beim Download des Vista-Updatepacks per Firefox dümpeln die firefox.exe und der Webguard von AntiVir zwischen Null und maximal 2% vor sich hin.
Einzig die explorer.exe schlägt hin und wieder mal bis auf 10% aus, weil die empfangenen Netzwerkdaten schubweise auf die Festplatte geschrieben werden.

Bei Uploads würde die explorer.exe rein gar nichts zu tun haben, nachdem die Daten erst mal in den RAM geladen wurden.

Und ich rede hier nicht von einer aktuellen und schnellen CPU, sondern von meinem heißgeliebten Thinkpad T23 - einem betagten Notebook mit Pentium 3 Mobile (1,13 GHz).

Eine aktuelle CPU würde wahrscheinlich bei firefox.exe und Webguard überhaupt nicht ausschlagen und bei der explorer.exe auf weniger als 5% Auslastung bei Downloads kommen...

Mit anderen Worten - der Task-Manager eignet sich für die Ermittlung von Prozessen und dem Abschießen eben dieser.
Nur aber im gleichzeitig stattfindenden Vergleich der gesendeten/empfangenen Datenpakete lassen sich Aufschlüsse darüber gewinnen, ob der soeben abgeschossene Prozess für den Traffic verantwortlich war.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
jueki Nachtrag zu: „Ein grauslicher Zombi“
Optionen

falscher Ort, sry

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen