Der Wurm “System Tool 2011” Teil 1 – Eine Einführung

ACH­TUNG! Bei “Sys­tem Tool 2011” han­delt es sich nicht um ein Anti-Viren-Tool son­dern um einen Com­pu­ter­wurm.

Ein Com­pu­ter­wurm ist ein Com­pu­ter­pro­gramm, wel­ches sich selbst ver­viel­fäl­ti­gen kann, sofern es ein­mal aus­ge­führt wur­de. Der Wurm ver­brei­tet sich jedoch ohne ande­re Datei­en oder ggf. Boot­sek­to­ren mit sei­nem Code zu infi­zie­ren. Ggf. kopiert er wei­te­ren Schad­code in Ihr Sys­tem und/oder instal­liert Tro­ja­ner.

In die­ser Rei­he zei­ge ich Ihnen wie Sie ihn ent­fer­nen kön­nen, sofern Sie mei­ne Hin­wei­se beach­tet haben. Denn i.R. wer­den Sie die Ant­wort erhal­ten, dass Sie Ihr Sys­tem “platt machen” müs­sen. Also Daten ret­ten und dann die Fest­plat­te löschen und das Sys­tem neu auf­spie­len. Das wäre der sichers­te Weg.

Letz­te Woche bekam ich einen auf­ge­reg­ten Anruf von einem ehe­ma­li­gen Schü­ler, der sich beim Sur­fen den “Sys­tem Tool 2011” Virus ein­ge­fan­gen hat­te. Da ich prin­zi­pi­ell dar­an inter­es­siert bin mei­ne “Waf­fen” für sol­che Fäl­le zu “schär­fen”, sag­te ich ihm schnel­le Hil­fe zu und bat ihn an dem ohne­hin nicht mehr ver­wend­ba­ren Rech­ner fol­gen­de Maß­nah­men vor­zu­neh­men.

  1. Kei­ner­lei Update der ver­meint­li­chen Anti­vi­ren Soft­ware zulas­sen!
  2. LAN-Kabel raus­zie­hen oder WLAN abschal­ten!
  3. Rech­ner sofort aus­schal­ten!
  4. Rech­ner bis zur Viren­be­kämp­fung nicht mehr Ein­schal­ten!
  5. Die­se Maß­nah­men allen Fami­li­en­mit­glie­dern kund tun!

Glück­li­cher­wei­se hat­te er einen wei­te­ren guten Rat von mir befolgt, so dass der Virus sich nicht tief in sein Sys­tem ein­nis­ten konn­te. Mein Schü­ler arbei­tet mit einem nor­ma­len Benut­zer Account ohne admi­nis­tra­ti­ve Berech­ti­gun­gen.

Als ich den Rech­ner dann hoch­fuhr, bot sich mir fol­gen­des mar­tia­li­sche Bild. Glück­li­cher­wei­se hat­te sich der Wurm nur im Account mei­nes Schü­lers ver­brei­tet. Weder sei­ne Frau, noch sei­ne Toch­ter waren betrof­fen. Cooles Smiley

Wider­ste­hen Sie dem Hin­weis, das letz­te Update für die Micro­soft Sicher­heits­soft­ware zu instal­lie­ren, die­se Mel­dung gene­riert der “Sys­tem Tool 2011” Virus.

Ein mit dem “System Tool 2011” Virus befallenes Windows XP

Ein Ver­such den Taskma­na­ger mit <STRG><ALT><ENTF> bzw. rech­te Maus­tas­te auf die Tas­kleis­te kli­cken zu star­ten brach­te nur die Mel­dung her­vor, dass taskmgr.exe infi­ziert wäre. Als Virus wur­de “Spyware.IEMonster” gefun­den.

taskmgr.exe wird als infiziert gemeldet und Ausführung gestoppt

Vermeintlich wird die Spyware.IEMonster gefunden

Wer jetzt glaubt, dass man sich den “Sys­tem Tool 2011” Virus nur ein­fan­gen kann, wenn man sich auf bösen Inter­net­sei­ten her­um treibt und kei­nen Viren­scan­ner ver­wen­det, der irrt. Bei mei­nem Schü­ler lie­fen die Micro­soft Secu­ri­ty Essen­ti­als in der v1.x, lei­der hat­te er sich um die Updates sei­nes Viren­scan­ners kei­ne gro­ßen Gedan­ken gemacht. Aktu­ell ist die Ver­si­on 2.x und die erkennt den Schäd­ling und legt auch ein bes­se­res Updatever­hal­ten an den Tag, d.h. die MSE füh­ren ein Update durch, wenn die­ses erfor­der­lich ist. Bei der älte­ren Ver­si­on muss­te das Update manu­ell oder über einen Task durch­ge­führt wer­den.

Microsoft Security Essentials v2.x bemerkt den “System Tool 2011” Virus und kann ihn stoppen

Das Update auf die Micro­soft Secu­ri­ty Essen­ti­als v2.x fin­den Sie hier.

Die Micro­soft Secu­ri­ty Essen­ti­als sind auch für Klein­un­ter­neh­men mit bis zu zehn PCs ver­füg­bar und dür­fen dort legal kom­mer­zi­ell ein­ge­setzt wer­den.

Mein Schü­ler hat­te kei­ne ver­fäng­li­chen Sei­ten ange­surft. Zumin­dest habe ich in der LOG der am Infek­ti­ons­tag auf­ge­such­ten Sei­ten nichts Ver­fäng­li­ches erken­nen kön­nen.

Sie kön­nen sich den Wurm von einer ver­meint­lich nor­ma­len, aber kom­pro­mit­tier­ten Sei­te, oder über kom­pro­mit­tier­te Wer­be­ban­ner im Netz ein­fan­gen.

Im nächs­ten Post beschrei­be ich, wie der Virus ent­fernt wird, sofern es sich um einen nor­ma­len Benut­zer-Account ohne admi­nis­tra­ti­ve Berech­ti­gun­gen han­delt.

Zu den Zeit­ge­nos­sen, die mit einem Admi­nis­tra­to­ren-Account sur­fen, denen ist eigent­lich nicht zu hel­fen, kom­me ich in einem spä­te­ren Post.

2 Kommentare » Schreibe einen Kommentar

  1. Hal­lo Herr Kütt­ner,
    ich hat­te mir ges­tern auch den Wurm ein­ge­fan­gen.
    Die Idee mit dem umben­nen der exe Datei ist gut.
    Das Sys­tem Tool hat bei mir auf dem Desk­top ein Icon ange­legt. Dort habe ich nach dem Pfad gese­hen und den Spei­cher­ort her­aus gefun­den. Dan woll­te ich natür­lich den Ord­ner löschen, was nicht ging, weil die Datei in Gebrauch war. Eigen­ar­ti­ger wei­se konn­te ich aber die Datei umben­nen. Habe so also die *.exe in belie­big ohne .exe umbe­nannt. Dann einen Neu­start, dabei habe ich mich auf einen Win­dows Trick beson­nen und die Umschalt­tas­te gedrückt gehal­ten. So ist kein Auto­st­art­pro­gramm gestar­tet. Dann konn­te ich auch Taskma­na­ger und rege­dit auf­ru­fen. In der Regis­try habe ich dann von Hand den run Ein­trag von Sys­tem tools gelöscht. Dann habe ich das Sys­tem im abge­si­cher­ten Modus gestar­tet und den Ord­ner unter AllU­sers gelöscht. Das Desk­to­psym­bol und den Ein­trag unter Start/Programme noch ent­fer­nen. Nun war alles wie­der im Lot.
    PS: Ich habe MSE 2.0 instal­liert, aber die auto­ma­ti­schen Updates funk­tio­nie­ren nicht.
    Vie­le Grü­ße, Peter Weiß­ling

  2. Hal­lo Herr Weiß­ling,
    ich freue mich, dass Sie den Schäd­ling wie­der los­ge­wor­den sind. Schein­bar hat er nicht mehr so viel Biss wie der Vor­gän­ger. Ich erin­ne­re mich an ein Sys­tem, wo zwei “Viren­pro­gram­me” auf­ein­an­der auf­pass­ten. Schoss man Nr. 1 ab, dann star­te­te Nr. 2 die Nr. 1 gleich wie­der neu ent­spre­chend umge­kehrt. Da half dann nur umbe­nen­nen.
    Manch­mal sieht man den Wald vor Bäu­men nicht. Dan­ke für den Tipp den Wurm ein­fach umzu­be­nen­nen. Dem­nächst wer­de ich ihn noch auf einen Admi­nac­count los­las­sen, mal sehen ob er dort dann mehr Tricks auf Lager hat.
    Zu den MSE, da kann man einen Task ein­rich­ten, so dass beim Sys­tem­start auto­ma­tisch ein Update gefah­ren wird.
    Ich glau­be ich wer­de dar­aus einen Blog­post machen. Ich den­ke in der nächs­ten Woche. Muss es ja noch Recher­chie­ren und Aus­tes­ten.

    Vie­le Grü­ße
    Clau­di­us H. Kütt­ner