Kann sich noch Jemand von Euch an diesen Fake-Virenscanner 2011 erinnern? So ein komisches Programm, welches sich unbemerkt und ungefragt beim Surfen installiert, tausend (gefakte) Virenwarnungen ausspuckt, den Taskmanager und die Systemsteuerung deaktiviert und den Nutzer beinahe dazu zwingt, diese dubiose Antivirensoftware zu kaufen um den Mist wieder loszuwerden? Anti-Virus 2011 ist der exakte Name, und wer wie ich schon um die 20 befallene Rechner zu fixen hatte, weis, wie schwer und hartnäckig diese Angelegenheit sein kann – denn je länger er sein Unwesen treibt, desto mehr Bereiche werden im System befallen – nicht selten hilft nur noch eine Windowsneuinstallation…
Soviel zum Vorgeplänkel der eigentlichen Thematik die jetzt kommen wird – vergesst Antivirus 2011 – denn jetzt gibt es einen neuen Virus, der nicht minder gefährlich ist, ähnlich agiert und der bislang noch von KEINEM Virenscanner erkannt wird – und natürlich hatte ich heute das große Glück, dem Dingen begegnet zu sein! Davon und von seiner Entfernung möchte ich hier berichten und gleich mal die Frage aufwerfen – wenn man einen neuen Virus entdeckt – darf man ihm dann einen Namen geben? Wie auch immer – ich nenne das Dingen – NetInternals-Virus- und das deswegen, weil er mit dieser Software scheinbar injiziert wird…
Es beginnt wie immer ganz harmlos. Man surft im Netz, merkt, daß eine Seite aufgrund von Plugins etwas hakelt und kurz darauf fliegt der (echte) Virenscanner an, er habe eine Bedrohung erkannt und geblockt. Diese Bedrohung ist in unserem Fall eine Datei namens “dududu.js” – diese wird nachweislich von derzeit 3 Virenscannern erkannt (laut Virustotal.com) – gottlob ist mein AVG einer davon. Bevor man sich allerdings Gedanken darum machen kann, ob die Datei lieber in Quarantäne verschoben oder gelöscht werden soll – fliegt die (ja, Birdy, genau) Softwarefirewall an und meldet, daß eine “NetInternals.exe” Zugriff ins Netz möchte. Diese liegt auf einmal auf dem Desktop und hat ein nettes stylisches Icon. Kurz darauf geht ein Infofenster auf und meldet, daß es Probleme mit einer Festplatte gibt, dann verschwinden magischerweise sämtliche Icons aus der Taskleiste. Der Taskmanager läßt sich nicht mehr starten und ein anderes Fenster sagt, daß bestimmte Teile des Systems vom Administrator deaktiviert wurden.
Ganz bestimmt möchte der Virus einen Systemneustart um sich noch tiefer ins System graben zu können – diesem Wunsch gehen wir ihm also nicht nach, sondern starten schleunigst eine Systemwiederherstellung! Diese sollte möglichst schnell geschehen, denn wie sich zeigte, pfuscht der Mist wirklich im Sekundentakt im System herum - je schneller wir sind, desto weniger Schaden richtet er an – Beeilung ist auch deshalb wichtig, da er auch die Systemwiederherstellungspunkte befällt.
Ist eine Herstellung des Systems erfolgreich gelaufen, war es das dann? Mitnichten – denn es fehlen immer noch diverse Icons in der Taskleiste, sowie Dateien und Ordner bei den eigenen Dateien, den Favoriten und der zusätzlichen Festplatte - abhängig davon, wie schnell man reagierte. Gottlob sind diese “Schäden” durch ändern der Dateiattribute wieder zu retten – dennoch eine Heidenarbeit von mehreren Stunden. Wie der Virus es schafft, das alles in Sekunden hinzukriegen, ist mir immer noch ein Rätsel.
Wie sich der Mist weiter verhalten hätte, kann ich nicht sagen – aber es wird nichts Gutes nachfolgen, soviel ist sicher. Wer mit dem Internet Explorer unterwegs ist und in der letzten Zeit MS-Updates gezogen und installiert hat, wird sicher schon bemerkt haben, daß beim IE in der Sicherheitszoneneinstellung eine neue Funktion hinzugekommen ist – keine Ahnung, wie die genau heißt, ich persönlich ziehe keine Updates. Aber ich habe in den letzten Tagen schon vor etlichen PC´s gesessen, wo mit aktivierter neuer Funktion keine Flash und Shockwavespiele (wie etwa von MeinVZ oder Facebook) mehr funktionierten oder Webseiten fehlerhaft angezeigt wurden. Wahrscheinlich ist man sich bei MS der Gefahr durchaus bewußt und versucht auf diese Art Schlimmeres zu verhindern – auch wenn es jetzt nicht unbedingt auf diesen Virus hier gemünzt sein muss, so werden sicherlich noch mehr Typen dieser Art im Netz ihr Unwesen treiben – also seid wachsam – nutzt zum Surfen erstmal sichere Browser oder verwendet eine Sandbox.
Auch eine Warnung muss ich an dieser Stelle aussprechen. Im Onlineshop des Musiklabels BUBACK MAILORDER habe ich mir meinen (nachweislich, reproduzierbar) eingefangen – der Betreiber wurde von mir schon informiert – einige Antivirenfirmen ebenso. Ich habe den Virus nach seiner Javascriptinstallation isoliert – heraus kam eine TEMP Datei, die in Wirklichkeit eine EXE ist. Sozusagen jene, die das Teil richtig unter Windows installiert – diese wird an die Virenhersteller zur Analyse verschickt.

Dieser Artikel wurde vor 10 Jahr(en) , 1 Monat(en) und 10 Tag(en) veröffentlicht, es ist also möglich, dass der Inhalt inzwischen nicht mehr aktuell ist.
Schlagworte : PC
Kommentare
#1 schrieb am 12 März 2015
(ja, Birdy, genau)
immer auf die kleinen
Ich habe immer noch keine!
#2 schrieb am 12 März 2015
Hehe, war mir klar – aber in diesem Fall wäre es besser, eine zu haben. Schon alleine um die dubiose EXE aufzuspüren, bzw. sie am weiteren “Nachladen” zu hindern. Obwohl… nutzt du eigentlich noch einen Windoze-Pc?
Mittlerweile wurden dank Rokop-Security die gängigsten Antivirensoftwarehersteller informiert und deren Software geupdatet – selbst mein AVG findet jetzt zuverlässig diesen Exploit/Trojaner. Vielen Dank Roman & Ralf von Rokop!
Wie man am neuen Screenshot gut erkennen kann, lädt, bzw. installiert der Exploit nicht zwangsläufig die im Text beschriebene EXE – sondern ändert den Namen oder nimmt gleich einen modifizierten Ableger – es ist also weiterhin Achtung angeraten.
Die Jungs vom Buback-Shop nehmen sich jetzt ebenfalls der Sache an und suchen nach der Ursache…
#3 schrieb am 12 März 2015
Ja, hab noch 3 Windows Pc´s am laufen. Leider reicht mein Budget nicht für einen iMac (27″). Vielleicht im nächsten Leben
#4 schrieb am 12 März 2015
Hehe… abwarten, Birdy. Wie ich dich kenne, kann dieser Mißstand doch nur eine Frage der Zeit sein…
Schreibe einen Kommentar
dem Artikel - bitte Herunterscrollen, falls dein Browser wieder zum Anfang der Seite
gesprungen ist. Beachte: Neue Kommentare erscheinen erst nach Freigabe durch
einen Administrator! Danach wird dein Name mitsamt Email auf unsere Whitelist
gesetzt und deine Kommentare bei uns erscheinen dann immer direkt. (Spamschutz)
EU-DSGVO-Verordnung
News-Kategorien
Neueste Artikel
Neueste Kommentare
Archiv
Archivliste sortiert nach Kategorien
Archivliste sortiert nach Autor
Schlagworte
Feeds
Linkpartner
Blogroll
Kommende Events
Livestream 2. - 5. April
Hilversum 27. - 28. Juni (Holland)
(wegen Corona auf 26/27. Juni 2021 verschoben!)
Umfrage
Ältere Umfragen
Banner
Weitere Projekte/Hosting
Counter/Statistik
Besucher insgesamt:
Free WordPress Theme powered by [i] Website Templates | Übersetzt und optimiert von Trixter