Der Wurm “System Tool 2011” Teil 3 – Aus dem Administratoren Account entfernen

Obwohl ein mit dem “Sys­tem Tool 2011” ver­seuch­tes Admi­nis­tra­to­ren­kon­tos nicht vor­kom­men dürf­te, denn wer ist schon so unver­nünf­tig und surft mit her­un­ter gelas­se­ner Hose, wer­de ich regel­mä­ßig eines ande­ren belehrt.

Es ist ein­fach bequem und es kann ja nichts pas­sie­ren, denn man hat ja einen Viren­wäch­ter. Meist ist einer der kos­ten­lo­sen Gesel­len oder einer der Mar­ke “lobe mich, ich habe einen unge­fähr­li­chen Virus gefun­den” instal­liert. Man wähnt sich sicher

Sie fin­den in die­sem Post ein wenig “Grund­la­gen­for­schung” und die Vor­ge­hens­wei­se um den Schäd­ling aus dem Admi­nis­tra­to­ren­kon­to zu ent­fer­nen. Ich habe das Ver-Wur­men mehr­mals an einen vir­tu­el­len Sys­tem aus­pro­biert. Die Ver­si­on 2011 soll­te wie spä­ter beschrie­ben ent­fern­bar sein.

Fol­gen­de Hilfs­mit­tel set­ze ich ein, wobei die aus­führ­ba­ren Datei­en zumin­dest des SysIn­ter­nals Pro­cess Explo­rers vor­sorg­lich in “iexplore.exe” umbe­nannt wur­den. Nähe­re Infor­ma­tio­nen fin­den Sie in Der Wurm “Sys­tem Tool 2011” Teil 2 – Aus einem Benut­zer Account ent­fer­nen:

1. Den SysIn­ter­nals Pro­cess Explo­rer,
2. SysIn­ter­nals Auto­R­uns,
3. SysIn­ter­nals TCPIP View und den
4. Gridin­Soft Tro­jan Kil­ler (ent­täusch­te ).

Infizieren des Opfersystems

Ich ver­wen­de ein vir­tu­el­les Win­dows XP das mit dem “Sys­tem Tool 2011” Wurm “geimpft” wird. Benutzt wird der Account “Sys­tem Tool 2011”, er ist Mit­glied in der Grup­pe Admi­nis­tra­to­ren. Der Com­pu­ter hat den Namen “OpferPC” und gehört zur Arbeits­grup­pe “Opfer”.

Nach dem Start der Virus­da­tei gene­riert die­se eine neue Kopie von sich selbst mit einem zufäl­li­gen Namen, hier “b0eEl01804.exe” und legt die­se im Unter­ver­zeich­nis “C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\b0eEl01804\” ab und löscht sich nach dem Start der neu­en Datei.  Sowohl der Name, als auch der Pfad ist zufäl­lig und scheint nicht wie­der­holt vor­zu­kom­men. Die­ses Ver­hal­ten zeigt der Wurm “Sys­tem Tool 2011” auch in einen nor­ma­len Benut­zer Account.

Dar­über hin­aus erzeugt der Wurm eine wei­te­re Datei mit zufäl­li­gem Namen, hier  “w32topll.exe” im Ver­zeich­nis “C:\Windows\system32\”. Die­se Datei hat die Attri­bu­te “Schreib­ge­schützt” und “Ver­steckt”. Die­ses Ver­hal­ten zeigt der Wurm nur in einem Admi­nis­tra­to­ren-Kon­to. Im wei­te­ren wer­de ich die Datei Tro­ja­ner nennen.

Erstaun­li­cher­wei­se erzeugt der Tro­ja­ner, hier “w32topll.exe”, eine recht hohe Sys­tem­last und behält die­se auch über einen län­ge­ren Zeit­raum hin­weg bei. Hier kön­nen Sie ggf. auf Ihrem Sys­tem ein­grei­fen, wenn ein Pro­gramm aus­ge­führt wird, das Sie nicht gestar­tet haben und das eine rela­tiv hohe Sys­tem­last erzeugt.

Wei­te­re zufäl­li­ge Pro­gramm­na­men wur­den wie folgt gewählt, der Spei­cher­ort war immer einheitlich:

• w32topll.exe
• netshelk.exe
• normnfdp.exe
• tslabels3.exe
• msfeedsc.exe

Das “Sys­tem Tools 2011”, hier “b0eEl01804.exe”, nahm wäh­rend des Infek­ti­ons­pro­zes­ses Kon­takt mit meh­re­ren Ser­vern auf. Bspw. mit der IP Adres­se 91.193.194.40. Der Ser­ver befin­det sich laut Scan in der Nähe der Hafen­stadt Odes­sa. Das bedeu­tet aber nicht, dass die ehren­wer­ten Men­schen, die hin­ter “Sys­tem Tool 2011” ste­hen nun aus der Ukrai­ne stam­men müs­sen, son­dern nur, dass dort ein von Ihnen ver­wen­de­ter Ser­ver steht.

Loka­li­sie­ren kön­nen Sie die Ser­ver über die Web­sei­te IPInfoDB.com. Mit fol­gen­den drei Ser­ver wur­de Kon­takt aufgenommen:

• 91.193.194.40 “ohne Namen” in der Nähe von Odessa,
• 85.17.45.66, “hosted-by.leaseweb.com” in der Nähe von Ams­ter­dam und
• 95.211.8.196, “hosted-by.leaseweb.com” eben­falls nahe Amsterdam.

Ein Scan mit den Micro­soft Secu­ri­ty Essen­ti­als v2.x ergibt für den Tro­ja­ner fol­gen­de Infor­ma­ti­on (Link):

TrojanDownloader:Win32/Ponmocup.A ist ein Tro­ja­ner, der heim­lich Schad­code aus dem Inter­net nach­lädt und ggf. wei­te­re Schad­soft­ware instal­liert. Der Tro­ja­ner erzeugt/ändert ggf. die fol­gen­den Datei­en auf einem infi­zier­ten System:

• %windir%\temp\scse.tmp
• %windir%\temp\scsf.tmp
• c:\documents and settings\administratorxplore.exe
• ver­än­dert die Datei <sys­tem folder>\drivers\etc\hosts¹

¹ <sys­tem fol­der> ver­weist in einem Win­dows 2000/NT auf den Pfad “C:\Winnt\System32” und auf einem Win­dows XP/Vista/Sieben Rech­ner auf den Pfad “C:\Windows\System32”.

Auf mei­nem Sys­tem hat der “Sys­tem Tool 2011” bzw. der Tro­ja­ner nur in der host-Datei die rot umran­de­ten Ein­trä­ge vor­ge­nom­men. Er biegt damit bei Auf­ruf der Rech­ner­adres­sen die­sen Auf­ruf auf das loka­le Sys­tem um. Man soll­te die hin­zu­ge­füg­ten Ein­trä­ge löschen. Der Ein­trag von local­host wird stan­dard­mä­ßig von Win­dows bei der Instal­la­ti­on erzeugt und soll­te nicht gelöscht werden.

Die o.g. 3 Datei­en (scse.tmp, scsf.tmp und administratorxplore.exe) habe ich nicht gefunden.

Nach­dem sich der Wurm auf dem Sys­tem instal­liert hat, zeigt er Viren-Mel­dun­gen und unter­bin­det die Aus­füh­rung nahe­zu aller Pro­gram­me außer dem Datei- und dem Internet-Explorer.

Dies­mal zeig­te sich eine neue Update­mel­dung, die jedoch genau­so nur zur Kauf­s­ei­te für die ver­meint­li­che “Anti­vie­ren-Soft­ware” führt.

Nach dem Neu­start des Sys­tems, das soll­ten Sie bei einem infi­zier­ten Sys­tem mög­lichst nicht durch­füh­ren, ruft der Tro­ja­ner, hier “w32topll.exe”, das Sys­tem­pro­gramm “ipconfig.exe” auf um ver­mut­lich die Netz­werk­ver­bin­dungs­da­ten abzufragen.

Nach dem Abschie­ßen der “Sys­tem Tool 2011” fin­det SysIn­ter­nals Auto­R­uns die Star­t­ein­trä­ge der “Sys­tem Tool 2011” und des Tro­ja­ners. Hier brau­che Sie nur die Häk­chen aus der Box, durch ankli­cken, ent­fer­nen. Nun wer­den die­se Pro­gram­me beim Start des Sys­tems nicht mehr aus­ge­führt und kön­nen gelöscht werden.

Der Gridin­Soft Tro­jan Kil­ler ent­täusch­te voll­ends, er fand zwar das im Ver­zeich­nis “C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\b0eEl01804\” befind­li­che “Sys­tem Tool 2011” und sei­ne Ver­knüp­fung auf dem Desk­top und ein paar Regis­try-Ein­trä­ge zur Pro­grammd­e­instal­la­ti­on, jedoch nicht die Start-Ein­trä­ge die­ser Datei in der Regis­try. Bei der suche nach dem Tro­ja­ner ver­sag­te das Tool kom­plett, denn es fand dien ver­steck­te Datei “w32topll.exe” nicht und kei­nen Ein­trag in der Regis­try. Schade! 

Beim Stö­bern fand ich sogar einen Ein­trag zur Deinstal­la­ti­on von “Sys­tem Tool 2011” in der Sys­tem­steue­rung, lei­der lässt sich das Pro­gramm so nicht entfernen.

Den Wurm aus dem System entfernen

Ich über­nehme kei­ner­lei Haf­tung wenn bei Ihnen aus mir unbe­kann­ten Grün­den die Des­in­fek­tion nicht funk­tio­niert. Der sichers­te Weg um die Infek­tion eines Sys­tems zu besei­ti­gen ist immer die Neu­in­stal­la­tion des Sys­tems, aber nicht unbe­dingt zwin­gend notwendig.

Nach dem Erken­nen der Infek­ti­on beach­ten Sie bit­te fol­gen­de Maßregeln:

1. Kei­ner­lei Update der ver­meint­li­chen Anti­vi­ren Soft­ware zulassen!
2. LAN-Kabel raus­zie­hen oder WLAN abschalten!
3. Rech­ner sofort ausschalten!
4. Rech­ner bis zur Viren-Bekämp­fung nicht mehr Einschalten!
5. Die­se Maß­nah­men allen Fami­li­en­mit­glie­dern kund tun!

Zum Ent­fer­nen gehen Sie wie folgt vor:

1. Pro­zess der “Sys­tem Tool 2011”, hier “b0eEl01804.exe”, mit dem Sys­tem Explo­rer von SysIn­ter­nals abschie­ßen, vor­her “procexp.exe” in “iexplore.exe” umbenennen.
2. Mit SysIn­ter­nals Auto­R­uns den Start der bei­den Viren­pro­gram­me, hier “b0eEl01804.exe” und “w32topll.exe” unterbinden.
3. Kon­trol­lie­ren ob an fol­gen­den Orten Spu­ren hin­ter­las­sen wur­den und die­se ggf. beseitigen 

   %windir%\temp\scse.tmp
   %windir%\temp\scsf.tmp
   c:\documents and settings\administratorxplore.exe
   

4. Die Datei “hosts” im Ver­zeich­nis “<sys­tem folder>\drivers\etc\” putzen.
5. Sys­tem neu star­ten und die Datei­en des “Sys­tem Tool 2011” und den Tro­ja­ner hän­disch löschen.

Nun wäre ein guter Moment, um eine aktu­elle und vor allem ech­te Anti-Viren-Soft­ware zu instal­lie­ren. Den­ken Sie bit­te eben­falls dar­über nach, ob Sie auch zukünf­tig als Admi­nis­tra­tor im Netz sur­fen wol­len? Nut­zen Sie die­se Change.

Viel Erfolg bei der Würmer-Jagd.