Kann sich noch Jemand von Euch an diesen Fake-Virenscanner 2011 erinnern? So ein komisches Programm, welches sich unbemerkt und ungefragt beim Surfen installiert, tausend (gefakte) Virenwarnungen ausspuckt, den Taskmanager und die Systemsteuerung deaktiviert und den Nutzer beinahe dazu zwingt, diese dubiose Antivirensoftware zu kaufen um den Mist wieder loszuwerden? Anti-Virus 2011 ist der exakte Name, und wer wie ich schon um die 20 befallene Rechner zu fixen hatte, weis, wie schwer und hartnäckig diese Angelegenheit sein kann – denn je länger er sein Unwesen treibt, desto mehr Bereiche werden im System befallen – nicht selten hilft nur noch eine Windowsneuinstallation…

Soviel zum Vorgeplänkel der eigentlichen Thematik die jetzt kommen wird – vergesst Antivirus 2011 – denn jetzt gibt es einen neuen Virus, der nicht minder gefährlich ist, ähnlich agiert und der bislang noch von KEINEM Virenscanner erkannt wird – und natürlich hatte ich heute das große Glück, dem Dingen begegnet zu sein! Davon und von seiner Entfernung möchte ich hier berichten und gleich mal die Frage aufwerfen – wenn man einen neuen Virus entdeckt – darf man ihm dann einen Namen geben? Wie auch immer – ich nenne das Dingen – NetInternals-Virus- und das deswegen, weil er mit dieser Software scheinbar injiziert wird…

Es beginnt wie immer ganz harmlos. Man surft im Netz, merkt, daß eine Seite aufgrund von Plugins etwas hakelt und kurz darauf fliegt der (echte) Virenscanner an, er habe eine Bedrohung erkannt und geblockt. Diese Bedrohung ist in unserem Fall eine Datei namens “dududu.js” – diese wird nachweislich von derzeit 3 Virenscannern erkannt (laut Virustotal.com) – gottlob ist mein AVG einer davon. Bevor man sich allerdings Gedanken darum machen kann, ob die Datei lieber in Quarantäne verschoben oder gelöscht werden soll – fliegt die (ja, Birdy, genau) Softwarefirewall an und meldet, daß eine “NetInternals.exe” Zugriff ins Netz möchte. Diese liegt auf einmal auf dem Desktop und hat ein nettes stylisches Icon. Kurz darauf geht ein Infofenster auf und meldet, daß es Probleme mit einer Festplatte gibt, dann verschwinden magischerweise sämtliche Icons aus der Taskleiste. Der Taskmanager läßt sich nicht mehr starten und ein anderes Fenster sagt, daß bestimmte Teile des Systems vom Administrator deaktiviert wurden.

Ganz bestimmt möchte der Virus einen Systemneustart um sich noch tiefer ins System graben zu können – diesem Wunsch gehen wir ihm also nicht nach, sondern starten schleunigst eine Systemwiederherstellung! Diese sollte möglichst schnell geschehen, denn wie sich zeigte, pfuscht der Mist wirklich im Sekundentakt im System herum - je schneller wir sind, desto weniger Schaden richtet er an – Beeilung ist auch deshalb wichtig, da er auch die Systemwiederherstellungspunkte befällt.

Ist eine Herstellung des Systems erfolgreich gelaufen, war es das dann? Mitnichten – denn es fehlen immer noch diverse Icons in der Taskleiste, sowie Dateien und Ordner bei den eigenen Dateien, den Favoriten und der zusätzlichen Festplatte - abhängig davon, wie schnell man reagierte. Gottlob sind diese “Schäden” durch ändern der Dateiattribute wieder zu retten – dennoch eine Heidenarbeit von mehreren Stunden. Wie der Virus es schafft, das alles in Sekunden hinzukriegen, ist mir immer noch ein Rätsel.

Wie sich der Mist weiter verhalten hätte, kann ich nicht sagen – aber es wird nichts Gutes nachfolgen, soviel ist sicher. Wer mit dem Internet Explorer unterwegs ist und in der letzten Zeit MS-Updates gezogen und installiert hat, wird sicher schon bemerkt haben, daß beim IE in der Sicherheitszoneneinstellung eine neue Funktion hinzugekommen ist – keine Ahnung, wie die genau heißt, ich persönlich ziehe keine Updates. Aber ich habe in den letzten Tagen schon vor etlichen PC´s gesessen, wo mit aktivierter neuer Funktion keine Flash und Shockwavespiele (wie etwa von MeinVZ oder Facebook) mehr funktionierten oder Webseiten fehlerhaft angezeigt wurden. Wahrscheinlich ist man sich bei MS der Gefahr durchaus bewußt und versucht auf diese Art Schlimmeres zu verhindern – auch wenn es jetzt nicht unbedingt auf diesen Virus hier gemünzt sein muss, so werden sicherlich noch mehr Typen dieser Art im Netz ihr Unwesen treiben – also seid wachsam – nutzt zum Surfen erstmal sichere Browser oder verwendet eine Sandbox.

Auch eine Warnung muss ich an dieser Stelle aussprechen. Im Onlineshop des Musiklabels BUBACK MAILORDER habe ich mir meinen (nachweislich, reproduzierbar) eingefangen – der Betreiber wurde von mir schon informiert – einige Antivirenfirmen ebenso. Ich habe den Virus nach seiner Javascriptinstallation isoliert – heraus kam eine TEMP Datei, die in Wirklichkeit eine EXE ist. Sozusagen jene, die das Teil richtig unter Windows  installiert – diese wird an die Virenhersteller zur Analyse verschickt.

Schlagworte : PC

Trixter
Administration Nemesiz v4 Projekt
Aufgaben im Nemesiz: Administrator, Autor & Moderator, Übersetzung & Bugfixing
Freier Redakteur bei Special Interest Magazinen & Online-Blogs
Retro & Emulation, Alternative Computersysteme, Schwerpunkt: Spiele