Upline: Infos & Dokus Sicherheit Malware

SpywareQuake SmithFraud.G SmithFraud.C Spywad.b TR/Drop.Zlob entfernen

Übersicht der vorhandenen Schädlinge

Am 24.07.2006 bekam ich von einem Freund seinen Laptop mit einer kleinen Sammlung von Viren, Trojanern und SpyWare - sauber integriert in Windows XP SP2 mit aktuellen Patches. Wie so oft war der Virenscanner des Rechners allerdings nicht auf dem aktuellen Stand. Es war zwar Avira AntiVir installiert, allerdings funktioniert bei diesem Virenscanner das Updaten nur zuverlässig, wenn der Rechner wirklich oft an ist. Durch die beachtliche Größe vieler Updates werden diese allerdings recht häufig von Modem-Usern abgebrochen und wenn diese Updates ohnehin selten ausgeführt

werden (wie in diesem Fall), dann kann die Virendefinitionsdatei schon mal einige Monate alt werden. Ein weiteres Problem dieses per Modem direkt am Internet hängenden Laptops war, dass der verwendete User Adminrechte besaß und auch die Firewallwarnungen nicht wirklich mit Bedacht behandelt wurden. Der Rechner meldete ständig mit einer englischsprachigen Meldung, dass er infiziert sei und man doch eine Software zum Entfernen der SpyWare und Trojaner beziehen solle. Bei der von diesem Trojaner "empfohlenen" Software handelte es sich um SpywareQuake, welche von dem Freund von mir auch heruntergeladen und installiert wurde. Da sich diese nunmehr ohnehin schon bei jedem Systemstart meldete, nutzte ich diese auch gleich zur Suche nach den Schädlingen. Ein Klick auf das kleine Vorschaubild zeigt einen Screenshot von dem Programm SpywareQuake und seiner Anzeige. Weiter nutzen kann man es übrigens nicht, da die Entfernung der gefunden Malware erst nach dem Erwerb einer kostenpflichtigen Version dieser Software möglich ist. Es handelt sich hierbei zwar offensichtlich um Erpressung (Einschleusen eines Trojaners zur Installation einer kostenpflichtigen Entfernungssoftware), allerdings ist ein rechtliches Vorgehen in solchen Fällen nahezu immer aussichtslos, da die Hersteller aus Staaten kommen, wo man sie einfach nicht belangen kann. Im folgenden die Liste der gefundenen Malware:
TR/Drop.Zlob.HB (1)
TR/Drop.Zlob.ZR.2 (1, lag nur im Verzeichnis C:\System Volume Information\)
TR/Dldr.Qworke.A.3 (1, alias Win32.TrojanClick.Spywad.b 2)
SPY.Html.Smithfraud.C (2)
Smithfraud.G (2)
Trojan.Downloader.Slvr (2)
1: Bezeichnung lt. Avira AntiVir, die Schädlinge wurden mit einer Version von 05/2006 noch nicht gefunden
2: Bezeichnung lt. SpywareQuake (Programm ist selbst Malware!)

Löschen der Schädlinge

Als erstes führte ich ein Update von Avira AntiVir durch (geht nicht im abgesicherten Modus!) und scannte den Rechner. AntiVir fand zwei Schädlinge, einer konnte sofort entfernt werden, der andere erst nach einem Neustart. Vor diesem Neustart beendete ich SpywareQuake, was über einen Klick mit der rechten Maustaste auf das entsprechende Symbol im SystemTray möglich ist. Sollte das nicht gehen, muss man versuchen, das Programm aus dem Taskmanager heraus zu beenden. Anschließend ging ich in die Systemsteuerung -> Software und deinstallierte SpywareQuake, was problemlos

funktionierte. Der nächste Schritt war ein Neustart des Systems in den abgesicherten Modus, welchen man auswählen kann, wenn man wärend des Bootvorgangs F8 drückt. Sollte hierbei evtl. ein Menü aus dem Bios (häufig liegt auf F8 eine Bootauswahl) öffnen, dann diese sinnvoll bestätigen und gleich danach wieder F8 drücken, da dann bereits der Windows-Start erfolgt. Im abgesicherten Modus werden die meisten Viren und Trojaner nicht mitgestartet, so auch die auf diesem Rechner sitzenden. Auf dem Rechner war bereits die Software Ad-Aware SE Personal installiert, welche ich deshalb auch gleich nutzte, um das System von den Dingen zu befreien, die Avira AntiVir nicht finden konnte (bzw. wollte, da PersonalEdition Classic). Ad-Aware SE Personal startete ich mit der Einstellung "Perform full system scan" und markierte anschließend alle gefundenen Schädlinge und Registryeinstellungen zur Bereinigung. Nachdem dies getan war, führte ich einen abschließenden Scan mit HijackThis (Software, die ein Logfile über verdächtige Einstellungen in der Registry erstellt) durch. HijackThis fand keine weiteren Auffälligkeiten, lediglich den überflüssigen WGA-Dienst von Microsoft entfernte ich noch per HijackThis und markierte diesen beim später startenden Windows-Update als "nicht mehr installieren".

Abschließende Nacharbeiten und Tests

Nach dem Neustart des Systems lief dieses wieder völlig problemlos. Erneute Scans fanden allerdings dutzende Sicherheitskopien der Schädlinge im Verzeichnis "System Volume Information", welches bekanntlich mehr Sicherheitslücken als so wie ursprünglich vorgesehen Schutz bietet. Das Löschen der dort lagernden "Altlasten" kann man mit Hilfe der Anleitung zum Zugriffsschutz der System Volume Information vornehmen. Nachdem ich auch diesen Ordner sauber hatte, fand ich keine weiteren Schädlinge mehr. Manuell mußte ich noch die heruntergeladene Datei SpyWareQuakeInstaller.exe und das Verzeichnis SpyQuake2.com löschen.
Da ich diesen Laptop nicht das erste mal von Viren befreien mußte, nahm ich diesmal noch eine weitere Maßnahme vor, um ein wenig mehr Schutz zu erhalten. Ich legte ein neues und passwortgeschütztes Administratorkonto an und nahm dem Standardkonto die Adminrechte weg. Obwohl es für den abgesicherten Modus einen User "Administartor" gibt, muss unter Windows XP trotzdem noch ein weiterer User als Computeradministrator vorhanden sein, daher der neue User. Der effektivste zusätzliche Schutz wäre zweifelsfrei durch eine DSL-Verbindung mit entsprechendem Router realisierbar, ich hoffe, dass das in diesem Fall auch bald folgt ...