Der Wurm “System Tool 2011” Teil 1 – Eine Einführung

ACH­TUNG! Bei “Sys­tem Tool 2011” han­delt es sich nicht um ein Anti-Viren-Tool son­dern um einen Computerwurm.

Ein Com­pu­ter­wurm ist ein Com­pu­ter­pro­gramm, wel­ches sich selbst ver­viel­fäl­ti­gen kann, sofern es ein­mal aus­ge­führt wur­de. Der Wurm ver­brei­tet sich jedoch ohne ande­re Datei­en oder ggf. Boot­sek­to­ren mit sei­nem Code zu infi­zie­ren. Ggf. kopiert er wei­te­ren Schad­code in Ihr Sys­tem und/oder instal­liert Trojaner.

In die­ser Rei­he zei­ge ich Ihnen wie Sie ihn ent­fer­nen kön­nen, sofern Sie mei­ne Hin­wei­se beach­tet haben. Denn i.R. wer­den Sie die Ant­wort erhal­ten, dass Sie Ihr Sys­tem “platt machen” müs­sen. Also Daten ret­ten und dann die Fest­plat­te löschen und das Sys­tem neu auf­spie­len. Das wäre der sichers­te Weg.

Letz­te Woche bekam ich einen auf­ge­reg­ten Anruf von einem ehe­ma­li­gen Schü­ler, der sich beim Sur­fen den “Sys­tem Tool 2011” Virus ein­ge­fan­gen hat­te. Da ich prin­zi­pi­ell dar­an inter­es­siert bin mei­ne “Waf­fen” für sol­che Fäl­le zu “schär­fen”, sag­te ich ihm schnel­le Hil­fe zu und bat ihn an dem ohne­hin nicht mehr ver­wend­ba­ren Rech­ner fol­gen­de Maß­nah­men vorzunehmen.

1. Kei­ner­lei Update der ver­meint­li­chen Anti­vi­ren Soft­ware zulassen!
2. LAN-Kabel raus­zie­hen oder WLAN abschalten!
3. Rech­ner sofort ausschalten!
4. Rech­ner bis zur Viren­be­kämp­fung nicht mehr Einschalten!
5. Die­se Maß­nah­men allen Fami­li­en­mit­glie­dern kund tun!

Glück­li­cher­wei­se hat­te er einen wei­te­ren guten Rat von mir befolgt, so dass der Virus sich nicht tief in sein Sys­tem ein­nis­ten konn­te. Mein Schü­ler arbei­tet mit einem nor­ma­len Benut­zer Account ohne admi­nis­tra­ti­ve Berechtigungen.

Als ich den Rech­ner dann hoch­fuhr, bot sich mir fol­gen­des mar­tia­li­sche Bild. Glück­li­cher­wei­se hat­te sich der Wurm nur im Account mei­nes Schü­lers ver­brei­tet. Weder sei­ne Frau, noch sei­ne Toch­ter waren betroffen. 

Wider­ste­hen Sie dem Hin­weis, das letz­te Update für die Micro­soft Sicher­heits­soft­ware zu instal­lie­ren, die­se Mel­dung gene­riert der “Sys­tem Tool 2011” Virus.

Ein Ver­such den Task­ma­na­ger mit <STRG><ALT><ENTF> bzw. rech­te Maus­tas­te auf die Task­leis­te kli­cken zu star­ten brach­te nur die Mel­dung her­vor, dass taskmgr.exe infi­ziert wäre. Als Virus wur­de “Spyware.IEMonster” gefunden.

Wer jetzt glaubt, dass man sich den “Sys­tem Tool 2011” Virus nur ein­fan­gen kann, wenn man sich auf bösen Inter­net­sei­ten her­um treibt und kei­nen Viren­scan­ner ver­wen­det, der irrt. Bei mei­nem Schü­ler lie­fen die Micro­soft Secu­ri­ty Essen­ti­als in der v1.x, lei­der hat­te er sich um die Updates sei­nes Viren­scan­ners kei­ne gro­ßen Gedan­ken gemacht. Aktu­ell ist die Ver­si­on 2.x und die erkennt den Schäd­ling und legt auch ein bes­se­res Update­ver­hal­ten an den Tag, d.h. die MSE füh­ren ein Update durch, wenn die­ses erfor­der­lich ist. Bei der älte­ren Ver­si­on muss­te das Update manu­ell oder über einen Task durch­ge­führt werden.

Das Update auf die Micro­soft Secu­ri­ty Essen­ti­als v2.x fin­den Sie hier.

Die Micro­soft Secu­ri­ty Essen­ti­als sind auch für Klein­un­ter­neh­men mit bis zu zehn PCs ver­füg­bar und dür­fen dort legal kom­mer­zi­ell ein­ge­setzt werden.

Mein Schü­ler hat­te kei­ne ver­fäng­li­chen Sei­ten ange­surft. Zumin­dest habe ich in der LOG der am Infek­ti­ons­tag auf­ge­such­ten Sei­ten nichts Ver­fäng­li­ches erken­nen können.

Sie kön­nen sich den Wurm von einer ver­meint­lich nor­ma­len, aber kom­pro­mit­tier­ten Sei­te, oder über kom­pro­mit­tier­te Wer­be­ban­ner im Netz einfangen.

Im nächs­ten Post beschrei­be ich, wie der Virus ent­fernt wird, sofern es sich um einen nor­ma­len Benut­zer-Account ohne admi­nis­tra­ti­ve Berech­ti­gun­gen handelt.

Zu den Zeit­ge­nos­sen, die mit einem Admi­nis­tra­to­ren-Account sur­fen, denen ist eigent­lich nicht zu hel­fen, kom­me ich in einem spä­te­ren Post.