Obwohl ein mit dem “Sys­tem Tool 2011” ver­seuch­tes Admi­nis­tra­to­ren­kon­tos nicht vor­kom­men dürfte, denn wer ist schon so unver­nünf­tig und surft mit her­un­ter gelas­se­ner Hose, werde ich regel­mä­ßig eines ande­ren belehrt.

Es ist ein­fach bequem und es kann ja nichts pas­sie­ren, denn man hat ja einen Viren­wäch­ter. Meist ist einer der kos­ten­lo­sen Gesel­len oder einer der Marke “lobe mich, ich habe einen unge­fähr­li­chen Virus gefun­den” instal­liert. Man wähnt sich sicher

Sie fin­den in die­sem Post ein wenig “Grund­la­gen­for­schung” und die Vor­ge­hens­weise um den Schäd­ling aus dem Admi­nis­tra­to­ren­konto zu ent­fer­nen. Ich habe das Ver-Wurmen mehr­mals an einen vir­tu­el­len Sys­tem aus­pro­biert. Die Ver­sion 2011 sollte wie spä­ter beschrie­ben ent­fern­bar sein.

Fol­gende Hilfs­mit­tel setze ich ein, wobei die aus­führ­ba­ren Dateien zumin­dest des Sys­In­ter­nals Pro­cess Explo­rers vor­sorg­lich in “iexplore.exe” umbe­nannt wur­den. Nähere Infor­ma­tio­nen fin­den Sie in Der Wurm “Sys­tem Tool 2011” Teil 2 – Aus einem Benut­zer Account ent­fer­nen:

1. Den Sys­In­ter­nals Pro­cess Explo­rer,
2. Sys­In­ter­nals AutoR­uns,
3. Sys­In­ter­nals TCPIP View und den
4. Gridin­Soft Tro­jan Kil­ler (ent­täuschte ).

Infi­zie­ren des Opfersystems

Ich ver­wende ein vir­tu­el­les Win­dows XP das mit dem “Sys­tem Tool 2011” Wurm “geimpft” wird. Benutzt wird der Account “Sys­tem Tool 2011”, er ist Mit­glied in der Gruppe Admi­nis­tra­to­ren. Der Com­pu­ter hat den Namen “OpferPC” und gehört zur Arbeits­gruppe “Opfer”.

Nach dem Start der Virus­da­tei gene­riert diese eine neue Kopie von sich selbst mit einem zufäl­li­gen Namen, hier “b0eEl01804.exe” und legt diese im Unter­ver­zeich­nis “C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\b0eEl01804\” ab und löscht sich nach dem Start der neuen Datei.  Sowohl der Name, als auch der Pfad ist zufäl­lig und scheint nicht wie­der­holt vor­zu­kom­men. Die­ses Ver­hal­ten zeigt der Wurm “Sys­tem Tool 2011” auch in einen nor­ma­len Benut­zer Account.

Dar­über hin­aus erzeugt der Wurm eine wei­tere Datei mit zufäl­li­gem Namen, hier  “w32topll.exe” im Ver­zeich­nis “C:\Windows\system32\”. Diese Datei hat die Attri­bute “Schreib­ge­schützt” und “Ver­steckt”. Die­ses Ver­hal­ten zeigt der Wurm nur in einem Administratoren-Konto. Im wei­te­ren werde ich die Datei Tro­ja­ner nennen.

Erstaun­li­cher­weise erzeugt der Tro­ja­ner, hier “w32topll.exe”, eine recht hohe Sys­tem­last und behält diese auch über einen län­ge­ren Zeit­raum hin­weg bei. Hier kön­nen Sie ggf. auf Ihrem Sys­tem ein­grei­fen, wenn ein Pro­gramm aus­ge­führt wird, das Sie nicht gestar­tet haben und das eine rela­tiv hohe Sys­tem­last erzeugt.

Wei­tere zufäl­lige Pro­gramm­na­men wur­den wie folgt gewählt, der Spei­cher­ort war immer einheitlich:

• w32topll.exe
• netshelk.exe
• normnfdp.exe
• tslabels3.exe
• msfeedsc.exe

Das “Sys­tem Tools 2011”, hier “b0eEl01804.exe”, nahm wäh­rend des Infek­ti­ons­pro­zes­ses Kon­takt mit meh­re­ren Ser­vern auf. Bspw. mit der IP Adresse 91.193.194.40. Der Ser­ver befin­det sich laut Scan in der Nähe der Hafen­stadt Odessa. Das bedeu­tet aber nicht, dass die ehren­wer­ten Men­schen, die hin­ter “Sys­tem Tool 2011” ste­hen nun aus der Ukraine stam­men müs­sen, son­dern nur, dass dort ein von Ihnen ver­wen­de­ter Ser­ver steht.

Loka­li­sie­ren kön­nen Sie die Ser­ver über die Web­seite IPInfoDB.com. Mit fol­gen­den drei Ser­ver wurde Kon­takt aufgenommen:

• 91.193.194.40 “ohne Namen” in der Nähe von Odessa,
• 85.17.45.66, “hosted-by.leaseweb.com” in der Nähe von Ams­ter­dam und
• 95.211.8.196, “hosted-by.leaseweb.com” eben­falls nahe Amsterdam.

Ein Scan mit den Micro­soft Secu­rity Essen­ti­als v2.x ergibt für den Tro­ja­ner fol­gende Infor­ma­tion (Link):

TrojanDownloader:Win32/Ponmocup.A ist ein Tro­ja­ner, der heim­lich Schad­code aus dem Inter­net nach­lädt und ggf. wei­tere Schad­soft­ware instal­liert. Der Tro­ja­ner erzeugt/ändert ggf. die fol­gen­den Dateien auf einem infi­zier­ten System:

• %windir%\temp\scse.tmp
• %windir%\temp\scsf.tmp
• c:\documents and settings\administratorxplore.exe
• ver­än­dert die Datei <sys­tem folder>\drivers\etc\hosts¹

¹ <sys­tem fol­der> ver­weist in einem Win­dows 2000/NT auf den Pfad “C:\Winnt\System32” und auf einem Win­dows XP/Vista/Sieben Rech­ner auf den Pfad “C:\Windows\System32”.

Auf mei­nem Sys­tem hat der “Sys­tem Tool 2011” bzw. der Tro­ja­ner nur in der host-Datei die rot umran­de­ten Ein­träge vor­ge­nom­men. Er biegt damit bei Auf­ruf der Rech­ne­r­adres­sen die­sen Auf­ruf auf das lokale Sys­tem um. Man sollte die hin­zu­ge­füg­ten Ein­träge löschen. Der Ein­trag von local­host wird stan­dard­mä­ßig von Win­dows bei der Instal­la­tion erzeugt und sollte nicht gelöscht werden.

Die o.g. 3 Dateien (scse.tmp, scsf.tmp und administratorxplore.exe) habe ich nicht gefunden.

Nach­dem sich der Wurm auf dem Sys­tem instal­liert hat, zeigt er Viren-Meldungen und unter­bin­det die Aus­füh­rung nahezu aller Pro­gramme außer dem Datei– und dem Internet-Explorer.

Dies­mal zeigte sich eine neue Updatemel­dung, die jedoch genauso nur zur Kauf­seite für die ver­meint­li­che “Antivieren-Software” führt.

Nach dem Neu­start des Sys­tems, das soll­ten Sie bei einem infi­zier­ten Sys­tem mög­lichst nicht durch­füh­ren, ruft der Tro­ja­ner, hier “w32topll.exe”, das Sys­tem­pro­gramm “ipconfig.exe” auf um ver­mut­lich die Netz­werk­ver­bin­dungs­da­ten abzufragen.

Nach dem Abschie­ßen der “Sys­tem Tool 2011” fin­det Sys­In­ter­nals AutoR­uns die Star­tein­träge der “Sys­tem Tool 2011” und des Tro­ja­ners. Hier brau­che Sie nur die Häk­chen aus der Box, durch ankli­cken, ent­fer­nen. Nun wer­den diese Pro­gramme beim Start des Sys­tems nicht mehr aus­ge­führt und kön­nen gelöscht werden.

Der Gridin­Soft Tro­jan Kil­ler ent­täuschte voll­ends, er fand zwar das im Ver­zeich­nis “C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\b0eEl01804\” befind­li­che “Sys­tem Tool 2011” und seine Ver­knüp­fung auf dem Desk­top und ein paar Registry-Einträge zur Pro­grammd­e­in­stal­la­tion, jedoch nicht die Start-Einträge die­ser Datei in der Regis­try. Bei der suche nach dem Tro­ja­ner ver­sagte das Tool kom­plett, denn es fand dien ver­steckte Datei “w32topll.exe” nicht und kei­nen Ein­trag in der Regis­try. Schade!

Beim Stö­bern fand ich sogar einen Ein­trag zur Dein­stal­la­tion von “Sys­tem Tool 2011” in der Sys­tem­steue­rung, lei­der lässt sich das Pro­gramm so nicht entfernen.

Den Wurm aus dem Sys­tem entfernen

Ich über­nehme kei­ner­lei Haf­tung wenn bei Ihnen aus mir unbe­kann­ten Grün­den die Des­in­fek­tion nicht funk­tio­niert. Der sicherste Weg um die Infek­tion eines Sys­tems zu besei­ti­gen ist immer die Neu­in­stal­la­tion des Sys­tems, aber nicht unbe­dingt zwin­gend notwendig.

Nach dem Erken­nen der Infek­tion beach­ten Sie bitte fol­gende Maßregeln:

1. Kei­ner­lei Update der ver­meint­li­chen Anti­vi­ren Soft­ware zulassen!
2. LAN-Kabel raus­zie­hen oder WLAN abschalten!
3. Rech­ner sofort ausschalten!
4. Rech­ner bis zur Viren-Bekämpfung nicht mehr Einschalten!
5. Diese Maß­nah­men allen Fami­li­en­mit­glie­dern kund tun!

Zum Ent­fer­nen gehen Sie wie folgt vor:

1. Pro­zess der “Sys­tem Tool 2011”, hier “b0eEl01804.exe”, mit dem Sys­tem Explo­rer von Sys­In­ter­nals abschie­ßen, vor­her “procexp.exe” in “iexplore.exe” umbenennen.
2. Mit Sys­In­ter­nals AutoR­uns den Start der bei­den Viren­pro­gramme, hier “b0eEl01804.exe” und “w32topll.exe” unterbinden.
3. Kon­trol­lie­ren ob an fol­gen­den Orten Spu­ren hin­ter­las­sen wur­den und diese ggf. beseitigen

   %windir%\temp\scse.tmp
   %windir%\temp\scsf.tmp
   c:\documents and settings\administratorxplore.exe
   

4. Die Datei “hosts” im Ver­zeich­nis “<sys­tem folder>\drivers\etc\” putzen.
5. Sys­tem neu star­ten und die Dateien des “Sys­tem Tool 2011” und den Tro­ja­ner hän­disch löschen.

Nun wäre ein guter Moment, um eine aktu­elle und vor allem echte Anti-Viren-Software zu instal­lie­ren. Den­ken Sie bitte eben­falls dar­über nach, ob Sie auch zukünf­tig als Admi­nis­tra­tor im Netz sur­fen wol­len? Nut­zen Sie diese Change.

Viel Erfolg bei der Würmer-Jagd.

ACH­TUNG! Bei “Sys­tem Tool 2011” han­delt es sich nicht um ein Anti-Viren-Tool son­dern um einen Computerwurm.

In die­sem Post beschreibe ich, wie ich den Virus aus einem nor­ma­len Benutzer-Account (ohne admi­nis­tra­tive Berech­ti­gun­gen) ent­ferne. Der Benut­zer hatte die Sicher­heits­maß­nah­men, wie in “Der Wurm ”Sys­tem Tool 2011″ Teil 1 – Eine Ein­füh­rung” beschrie­ben, eingehalten.

Ich über­nehme kei­ner­lei Haf­tung wenn bei Ihnen aus mir unbe­kann­ten Grün­den die Des­in­fek­tion nicht funk­tio­niert. Der sicherste Weg um die Infek­tion eines Sys­tems zu besei­ti­gen ist immer die Neu­in­stal­la­tion des Sys­tems, aber nicht immer zwin­gend notwendig.

Die Fol­gen­den Maß­re­geln galt es nach dem Bemer­ken der Infek­tion ein­zu­hal­ten, bis der Viren­be­kämp­fer kommt:

1. Kei­ner­lei Update der ver­meint­li­chen Anti­vi­ren Soft­ware zulassen!
2. LAN-Kabel raus­zie­hen oder WLAN abschalten!
3. Rech­ner sofort ausschalten!
4. Rech­ner bis zur Viren­be­kämp­fung nicht mehr Einschalten!
5. Diese Maß­nah­men allen Fami­li­en­mit­glie­dern kund tun!

Fol­gende Uti­li­ties lud ich auf einen nicht kom­pro­mit­tier­ten Com­pu­ter her­un­ter und ent­packte die Soft­ware bzw. instal­lierte sie. Danach kopierte ich die Unter­ver­zeich­nisse auf einen USB Stick.

Der Sys­In­ter­nals Pro­cess Explo­rer muss nur ent­packt und beim ers­ten Start die Lizenz­be­stim­mun­gen akzep­tiert wer­den. Er ist por­ta­bel ein­setz­bar. Sys­In­ter­nals war eine kleine aber feine Firma, die unter ande­rem freie Sys­tem­tools pro­gram­mierte. Sie wurde 2006 von Micro­soft erwor­ben und in das Unter­neh­men inte­griert. Sie wird mit ähnli­chen Ziel­set­zun­gen wei­ter­ge­führt und ich nutze die Tools gern.

Der Gridin­Soft Tro­jan Kil­ler muss instal­liert und sollte auf dem Installations-System min­des­tens ein­mal aus­ge­führt wer­den, damit er im aktu­el­len Zustand ist. Bei der Soft­ware han­delt es sich um Tri­al­Ware. In der unli­zen­zier­ten Ver­sion zeigt er die Schad­soft­ware an, besei­tigt sie jedoch nur inner­halb der 15-tägigen Test­zeit. Danach müs­sen Sie die Schäd­linge manu­ell löschen oder die Voll­ver­sion kaufen.

Nach dem Start des mit den “Sys­tem Tool 2011” befal­le­nen Rech­ners zeigt sich fol­gen­des mar­tia­li­sche Bild.

Der Ver­such, alle lau­fen­den Pro­gramme mit Hilfe des Taskma­na­gers anzei­gen zu las­sen schei­tert, da das “Sys­tem Tool 2011” das Pro­gramm als poten­ti­ell infi­ziert mel­det und die Aus­füh­rung verhindert.

Aus Recher­chen und eige­nen Erfah­rung kenne ich den Spei­cher­ort des “Sys­tem Tool 2011”. I.d.R. befin­det sich die Datei unter “Lw:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Name”. Wobei der Name immer eine zufäl­lige Folge von Zah­len und Buch­sta­ben ist, hier befin­det es sich im Ver­zeich­nis “cDiFk01804”.

Nach­dem Sie nun wis­sen, wo sich das “Sys­tem Tool 2011” befin­det, wer­den Sie den­ken, da lösche ich es schnell. Geht lei­der nicht, solange das “Sys­tem Tool 2011” noch aus­ge­führt wird.

Eine wich­tige Infor­ma­tion, die das Rei­ni­gen eines mit dem “Sys­tem Tool 2011” befal­le­nen Sys­tems erleich­tert, ist die Kennt­nis, dass die Aus­füh­rung des Inter­net Explo­rers und des Datei­ex­plo­rers nicht blo­ckiert wird. Also wer­den die Datei­na­men “explorer.exe” und “iexplore.exe” nicht durch das “Sys­tem Tool 2011” behin­dert. Sie wer­den gebraucht um die ver­meint­li­che Anti­vi­ren­soft­ware zu kaufen.

Zuerst starte ich den Sys­ter­nals Pro­zess Explo­rer, nach­dem ich ihn in “iexplore.exe” umbe­nannt habe. Unter sei­nem tat­säch­li­chen Namen würde er vom Das “Sys­tem Tool 2011” blo­ckiert wer­den! Bitte bestä­ti­gen Sie die Lizenz Bedin­gun­gen mit “Agree”.

Nun öffnet sich der Sys­ter­nals Pro­zess Explo­rer alias “iexplore.exe”. “Sys­tem Tool 2011” erken­nen Sie gut an dem Sym­bol in Form eines Vor­hän­ge­schlos­ses und kli­cken den Task nun mit der rech­ten Maus­taste an und wäh­len aus dem Kon­text­menü “Kill Pro­cess”. Damit been­den Sie den Böse­wicht. Die Abfrage bezüg­lich des Kil­lens des Pro­gram­mes kön­nen Sie mit “Ok” bestä­ti­gen. Danach ver­schwin­det das Pro­gramm­sym­bol aus der Tas­kleiste. Sie kön­nen den Pro­zess Explo­rer beenden.

Nun müs­sen wir die Spu­ren des “Sys­tem Tool 2011” im Sys­tem auf­spü­ren und besei­ti­gen. Dazu benut­zen wir die zuvor erstellte und aktua­li­sierte “por­ta­ble” Instal­la­tion des Gridin­Soft Tro­jan Kil­ler. Das Pro­gramm nennt sich “trojankiller.exe”

Bestä­ti­gen Sie den Dia­log zur Ausprobierzeit/Trialperiode mit “Con­ti­nue”. Wäh­len Sie dann “Scan” und “Stan­dard Scan”. Jedes mal, wenn der Gridin­Soft Tro­jan Kil­ler einen gefähr­li­chen Ein­trag im Sys­tem fin­det, sen­det er ein akus­ti­sches Signal aus. Der Scan wird je nach Größe Ihrer Fest­plat­ten mehr oder weni­ger Zeit beanspruchen.

Das Pro­gramm mel­det sich mit einer Liste der bedroh­li­chen Dateien. Mar­kie­ren Sie alle Ein­träge und las­sen Sie sie durch den Gridin­Soft Tro­jan Kil­ler besei­ti­gen. Bestä­ti­gen Sie das fol­gende Dia­log­fens­ter mit OK.

Soll­ten Sie den Gridin­Soft Tro­jan Kil­ler schon ein­mal auf Ihrem Sys­tem aus­pro­biert haben, dann ist die Ausprobierzeit/Trialperiode abge­lau­fen und Sie müs­sen die Schad­soft­ware manu­ell löschen.

Sie kön­nen zur Sicher­heit Ihr Sys­tem danach noch­mals scan­nen lassen.

Star­ten Sie nun Ihren Rech­ner neu und mel­den Sie sich an. Ihr Rech­ner sollte “Sys­tem Tool 2011”-frei sein.

Nun wäre ein guter Moment, um eine aktu­elle und vor allem echte Anti-Viren-Software zu instal­lie­ren. Nut­zen Sie diese Change.

ACH­TUNG! Bei “Sys­tem Tool 2011” han­delt es sich nicht um ein Anti-Viren-Tool son­dern um einen Computerwurm.

Ein Com­pu­ter­wurm ist ein Com­pu­ter­pro­gramm, wel­ches sich selbst ver­viel­fäl­ti­gen kann, sofern es ein­mal aus­ge­führt wurde. Der Wurm ver­brei­tet sich jedoch ohne andere Dateien oder ggf. Boot­sek­to­ren mit sei­nem Code zu infi­zie­ren. Ggf. kopiert er wei­te­ren Schad­code in Ihr Sys­tem und/oder instal­liert Trojaner.

In die­ser Reihe zeige ich Ihnen wie Sie ihn ent­fer­nen kön­nen, sofern Sie meine Hin­weise beach­tet haben. Denn i.R. wer­den Sie die Ant­wort erhal­ten, dass Sie Ihr Sys­tem “platt machen” müs­sen. Also Daten ret­ten und dann die Fest­platte löschen und das Sys­tem neu auf­spie­len. Das wäre der sicherste Weg.

Letzte Woche bekam ich einen auf­ge­reg­ten Anruf von einem ehe­ma­li­gen Schü­ler, der sich beim Sur­fen den “Sys­tem Tool 2011” Virus ein­ge­fan­gen hatte. Da ich prin­zi­pi­ell daran inter­es­siert bin meine “Waf­fen” für sol­che Fälle zu “schär­fen”, sagte ich ihm schnelle Hilfe zu und bat ihn an dem ohne­hin nicht mehr ver­wend­ba­ren Rech­ner fol­gende Maß­nah­men vorzunehmen.

1. Kei­ner­lei Update der ver­meint­li­chen Anti­vi­ren Soft­ware zulassen!
2. LAN-Kabel raus­zie­hen oder WLAN abschalten!
3. Rech­ner sofort ausschalten!
4. Rech­ner bis zur Viren­be­kämp­fung nicht mehr Einschalten!
5. Diese Maß­nah­men allen Fami­li­en­mit­glie­dern kund tun!

Glück­li­cher­weise hatte er einen wei­te­ren guten Rat von mir befolgt, so dass der Virus sich nicht tief in sein Sys­tem ein­nis­ten konnte. Mein Schü­ler arbei­tet mit einem nor­ma­len Benut­zer Account ohne admi­nis­tra­tive Berechtigungen.

Als ich den Rech­ner dann hoch­fuhr, bot sich mir fol­gen­des mar­tia­li­sche Bild. Glück­li­cher­weise hatte sich der Wurm nur im Account mei­nes Schü­lers ver­brei­tet. Weder seine Frau, noch seine Toch­ter waren betroffen.

Wider­ste­hen Sie dem Hin­weis, das letzte Update für die Micro­soft Sicher­heits­soft­ware zu instal­lie­ren, diese Mel­dung gene­riert der “Sys­tem Tool 2011” Virus.

Ein Ver­such den Taskma­na­ger mit <STRG><ALT><ENTF> bzw. rechte Maus­taste auf die Tas­kleiste kli­cken zu star­ten brachte nur die Mel­dung her­vor, dass taskmgr.exe infi­ziert wäre. Als Virus wurde “Spyware.IEMonster” gefunden.

Wer jetzt glaubt, dass man sich den “Sys­tem Tool 2011” Virus nur ein­fan­gen kann, wenn man sich auf bösen Inter­net­sei­ten herum treibt und kei­nen Viren­scan­ner ver­wen­det, der irrt. Bei mei­nem Schü­ler lie­fen die Micro­soft Secu­rity Essen­ti­als in der v1.x, lei­der hatte er sich um die Updates sei­nes Viren­scan­ners keine gro­ßen Gedan­ken gemacht. Aktu­ell ist die Ver­sion 2.x und die erkennt den Schäd­ling und legt auch ein bes­se­res Updatever­hal­ten an den Tag, d.h. die MSE füh­ren ein Update durch, wenn die­ses erfor­der­lich ist. Bei der älte­ren Ver­sion musste das Update manu­ell oder über einen Task durch­ge­führt werden.

Das Update auf die Micro­soft Secu­rity Essen­ti­als v2.x fin­den Sie hier.

Die Micro­soft Secu­rity Essen­ti­als sind auch für Klein­un­ter­neh­men mit bis zu zehn PCs ver­füg­bar und dür­fen dort legal kom­mer­zi­ell ein­ge­setzt werden.

Mein Schü­ler hatte keine ver­fäng­li­chen Sei­ten ange­surft. Zumin­dest habe ich in der LOG der am Infek­ti­ons­tag auf­ge­such­ten Sei­ten nichts Ver­fäng­li­ches erken­nen können.

Sie kön­nen sich den Wurm von einer ver­meint­lich nor­ma­len, aber kom­pro­mit­tier­ten Seite, oder über kom­pro­mit­tierte Wer­be­ban­ner im Netz einfangen.

Im nächs­ten Post beschreibe ich, wie der Virus ent­fernt wird, sofern es sich um einen nor­ma­len Benutzer-Account ohne admi­nis­tra­tive Berech­ti­gun­gen handelt.

Zu den Zeit­ge­nos­sen, die mit einem Administratoren-Account sur­fen, denen ist eigent­lich nicht zu hel­fen, komme ich in einem spä­te­ren Post.