Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Tuesday, July 22, 2008

Trojaner & Co.

CHIP-Spezialist für Malware
Registriert seit: 07.08.2003
Ort: Augsburg
Beiträge: 3.573
Erste Hilfe bei Infektionen (Viren, Würmer etc.)

(Beitrag im CHIP FAQ-Portal)
Grundregeln bei möglichem Schädlingsbefall (Malware)
Bitte die folgende Punkte in aller Ruhe durchlesen und - soweit möglich/erforderlich - komplett abarbeiten. Auf fünf Minuten hin oder her kommt es wirklich nicht an. Danke dafür.

Ruhe bewahren!
Genaue Angaben zur Infektion
HJT Logfile: Wie mache ich das richtig?
Verdächtige Dateien online überprüfen lassen
VirusTotal - Bebilderte Anleitung

Ruhe bewahren!
Panik und unüberlegte Löschaktionen helfen auf keinen Fall weiter, auch bringt z.B. die nachträgliche Installation von weiteren Sicherheitsprogrammen nichts - im Gegenteil: Hier besteht höchstens die Gefahr dem System den Rest zu geben.
Falls ein Zweit-PC zur Verfügung steht, sollte der möglicherweise infizierte Rechner zunächst physikalisch von in- und externen Netzwerken getrennt werden (Verbindungsstecker/Netzwerkkabel ziehen). Hilfe zum weiteren Vorgehen kann dann über den Zweit-PC eingeholt werden.
Genaue Angaben zur Infektion
1.) Wie lautet die vollständige Virenmeldung (genauer Dateipfad!)? Gegebenenfalls empfiehlt es sich das Log des Virenscanners zu posten. Zwei Beispiele:
Wurm ABC wird hier gefunden:
Code:
C:\WINDOWS\System32\sxxchost.exe
Spyware XYZ befindet sich dort:
Code:
C:\Programme\Gemeinsame Dateien\updater.exe
2.) Welcher Scanner meldet dies? Wann zuletzt hatte er eine Aktualisierung der Signaturen erfahren, bevor es zu der vermeintlichen Infektion gekommen war?

3.) Welche Aktion wurde unmittelbar vor der Infektion durchgeführt (Besuch einer bestimmten Website oder das Öffnen einer Mail)? Wurde beispielsweise zuvor eine Datei heruntergeladen und ausgeführt, so sollte auch diese gesichert und nicht gelöscht werden - das gilt ebenfalls für Links aus Messengern, die man zugeschickt bekam: Alles sichern und dann im Zweifel im Forum nachfragen, was genau davon die helfenden User in diesem Fall benötigen.
Wichtig: Solch eine vermutlich "böse" Seite niemals als klickbaren Link posten, sondern z.B. folgendermaßen entschärfen: w*w.böseseite.com
4.) Um welches Betriebssystem handelt es sich bzw. auf welchem Servicepack-/Patchstand befindet es sich? Wann zuletzt wurden VOR der Infektion Aktualisierungen durchgeführt?
5.) Falls bereits Maßnahmen getroffen wurden: Welche genau?
HJT Logfile: Wie mache ich das richtig?
Für Ferndiagnosen ist HijackThis praktisch unentbehrlich. Der Download und ein anschließender System Scan dauern höchstens ein paar Minuten. So erhalten die Helfenden einen schnellen ersten Überblick über das System.
1.) Ein sehr gute bebilderte Anleitung gibt es hier: http://sicher-ins-netz.info/analyse/hjt.html
2.) Es existiert eine recht bekannte automatische Auswertung für diese Logfiles. Diese ist aber keinesfalls fehlerfrei und sollte wenn überhaupt nur als grober Anhaltspunkt dienen.
Wichtig: Bitte auf gar keinen Fall im Alleingang einen von der Automatik angeprangerten "bösen" oder "unklaren" Eintrag mal eben so fixen oder löschen. Im schlimmsten Fall zerschießt man sich dadurch das System.
3.) Befinden sich im Logfile Namen oder sonstige persönliche Daten...
Code:
C:\Dokumente und Einstellungen\Hans Meier\Desktop\HiJackThis202.exe
...sollten diese unkenntlich gemacht werden:

Code:
C:\Dokumente und Einstellungen\**** *****\Desktop\HiJackThis202.exe
4.) Wichtig: Zusätzlich sollten vor dem Posten im Chip-Forum von möglicherweise "schädlichen Infos" - und das können auch Links innerhalb des automatisch erstellen HJT-LogFiles sein - bei "Links automatisch umwandeln" der Haken herausgenommen werden:


image hosting by fotofun.xonio.com
5.) Hier ein Muster-Log:
Zitat:
Logfile of Trend Micro HijackThis v2.0.
Scan saved at 00:26:52, on 04.10.2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Sidebar\sidebar.exe
D:\Free Download Manager\fdm.exe
D:\ObjectDock\ObjectDock.exe
D:\Mozilla Firefox\firefox.exe
F:\SICHERHEIT\HIJACK THIS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - d:\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Free Download Manager] d:\FREEDO~1\fdm.exe -autorun
O4 - Startup: Stardock ObjectDock.lnk = D:\ObjectDock\ObjectDock.exe
O13 - Gopher Prefix:
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
End of file - 2052 bytes
Verdächtige Dateien online überprüfen lassen

Dafür bieten sich VirusTotal und Jotti an, wobei VirusTotal wegen der Mehrzahl der Scanner und der durchschnittlich geringeren Auslastung vorzuziehen ist.
Leider kommt es aber hier immer wieder zu Missverständnissen bzw. die geposteten Angaben sind ungenau/fehlerhaft. Daher eine kleine bebilderte Anleitung
------------------------------------------------------
Spezielle Vorschläge
Code:
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
Gefährlich, deshalb:

http://www.heise.de/security/Updates...meldung/110702
Veraltete Version, aktuell ist Java 6 Update 7! Aber nachträgliches Updaten nach einer Infizierung bringt nichts mehr, das muß vorher aktuell sein.
-----Code:
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
http://www.heise.de/security/StopBad...meldung/102842

-----
Toolbars en masse, überflüssig wie ein Kropf, zudem noch Müll!
http://www.heise.de/security/Gefaehr...meldung/100835
http://www.heise.de/security/Gefahr-.../meldung/90440
Code:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
Fällt immer nur negativ auf, mit ständig neuen Sicherheitslücken:

http://www.heise.de/security/Apple-s...meldung/109218

Fazit:

Wenn ich mir hier so alles betrachte:
-> Schädlingseinträge in der Systemwiederherstellung
-> voreiliges *Löschen* derselben
-> ungepatchte Applikationen -> Drive-by-Download-Gefahr (Java)
-> unsichere Software (RealPlayer, Quicktime)
-> "das fic hatte ich damals mal für meine trojaner verwendet" ->
-> überflüssiger Müll auf dem Rechner (Toolbars)
alleine das 1. reichte mir schon, um klar Schiff zu machen. Du hast es durch voreiliges Löschen nur noch verschlimmbessert, zumal Du in der Vergangenheit schon einmal Probleme mit Trojanern hattest und diese auch nicht durch formatieren entfernt hast, sondern mit einem Bereinigungstool gearbeitet hast.
Das kann nicht gutgehen, deshalb:
http://www.microsoft.com/germany/tec...es/600574.mspx
http://www.malte-wetz.de/index.php?v...c-removal.html

Ich würde formatieren, und Daten, die mir wichtig sind, via Live-CD sichern.
Ubuntu von einem sauberen Zweitrechner laden, dort auf CD brennen und hiermit den Rechner booten.
Ich habe mal eine kleine Anleitung hierfür geschrieben:
Ubuntu-Anleitung
http://forum.chip.de/viren-trojaner-...ml#post6227512

No comments: