Windows: Warnung vor unbekannten NetInternals-Virus



Freitag 11 März 2011 von Trixter PC/Apple 4 Kommentare

Kann sich noch Jemand von Euch an diesen Fake-Virenscanner 2011 erinnern? So ein komisches Programm, welches sich unbemerkt und ungefragt beim Surfen installiert, tausend (gefakte) Virenwarnungen ausspuckt, den Taskmanager und die Systemsteuerung deaktiviert und den Nutzer beinahe dazu zwingt, diese dubiose Antivirensoftware zu kaufen um den Mist wieder loszuwerden? Anti-Virus 2011 ist der exakte Name, und wer wie ich schon um die 20 befallene Rechner zu fixen hatte, weis, wie schwer und hartnäckig diese Angelegenheit sein kann – denn je länger er sein Unwesen treibt, desto mehr Bereiche werden im System befallen – nicht selten hilft nur noch eine Windowsneuinstallation…


Soviel zum Vorgeplänkel der eigentlichen Thematik die jetzt kommen wird – vergesst Antivirus 2011 – denn jetzt gibt es einen neuen Virus, der nicht minder gefährlich ist, ähnlich agiert und der bislang noch von KEINEM Virenscanner erkannt wird – und natürlich hatte ich heute das große Glück, dem Dingen begegnet zu sein! Davon und von seiner Entfernung möchte ich hier berichten und gleich mal die Frage aufwerfen – wenn man einen neuen Virus entdeckt – darf man ihm dann einen Namen geben? Wie auch immer – ich nenne das Dingen – NetInternals-Virus- und das deswegen, weil er mit dieser Software scheinbar injiziert wird…

 

Es beginnt wie immer ganz harmlos. Man surft im Netz, merkt, daß eine Seite aufgrund von Plugins etwas hakelt und kurz darauf fliegt der (echte) Virenscanner an, er habe eine Bedrohung erkannt und geblockt. Diese Bedrohung ist in unserem Fall eine Datei namens “dududu.js” – diese wird nachweislich von derzeit 3 Virenscannern erkannt (laut Virustotal.com) – gottlob ist mein AVG einer davon. Bevor man sich allerdings Gedanken darum machen kann, ob die Datei lieber in Quarantäne verschoben oder gelöscht werden soll – fliegt die (ja, Birdy, genau) Softwarefirewall an und meldet, daß eine “NetInternals.exe” Zugriff ins Netz möchte. Diese liegt auf einmal auf dem Desktop und hat ein nettes stylisches Icon. Kurz darauf geht ein Infofenster auf und meldet, daß es Probleme mit einer Festplatte gibt, dann verschwinden magischerweise sämtliche Icons aus der Taskleiste. Der Taskmanager läßt sich nicht mehr starten und ein anderes Fenster sagt, daß bestimmte Teile des Systems vom Administrator deaktiviert wurden.

Ganz bestimmt möchte der Virus einen Systemneustart um sich noch tiefer ins System graben zu können – diesem Wunsch gehen wir ihm also nicht nach, sondern starten schleunigst eine Systemwiederherstellung! Diese sollte möglichst schnell geschehen, denn wie sich zeigte, pfuscht der Mist wirklich im Sekundentakt im System herum - je schneller wir sind, desto weniger Schaden richtet er an – Beeilung ist auch deshalb wichtig, da er auch die Systemwiederherstellungspunkte befällt.

Ist eine Herstellung des Systems erfolgreich gelaufen, war es das dann? Mitnichten – denn es fehlen immer noch diverse Icons in der Taskleiste, sowie Dateien und Ordner bei den eigenen Dateien, den Favoriten und der zusätzlichen Festplatte - abhängig davon, wie schnell man reagierte. Gottlob sind diese “Schäden” durch ändern der Dateiattribute wieder zu retten – dennoch eine Heidenarbeit von mehreren Stunden. Wie der Virus es schafft, das alles in Sekunden hinzukriegen, ist mir immer noch ein Rätsel.

Wie sich der Mist weiter verhalten hätte, kann ich nicht sagen – aber es wird nichts Gutes nachfolgen, soviel ist sicher. Wer mit dem Internet Explorer unterwegs ist und in der letzten Zeit MS-Updates gezogen und installiert hat, wird sicher schon bemerkt haben, daß beim IE in der Sicherheitszoneneinstellung eine neue Funktion hinzugekommen ist – keine Ahnung, wie die genau heißt, ich persönlich ziehe keine Updates. Aber ich habe in den letzten Tagen schon vor etlichen PC´s gesessen, wo mit aktivierter neuer Funktion keine Flash und Shockwavespiele (wie etwa von MeinVZ oder Facebook) mehr funktionierten oder Webseiten fehlerhaft angezeigt wurden. Wahrscheinlich ist man sich bei MS der Gefahr durchaus bewußt und versucht auf diese Art Schlimmeres zu verhindern – auch wenn es jetzt nicht unbedingt auf diesen Virus hier gemünzt sein muss, so werden sicherlich noch mehr Typen dieser Art im Netz ihr Unwesen treiben – also seid wachsam – nutzt zum Surfen erstmal sichere Browser oder verwendet eine Sandbox.

Auch eine Warnung muss ich an dieser Stelle aussprechen. Im Onlineshop des Musiklabels BUBACK MAILORDER habe ich mir meinen (nachweislich, reproduzierbar) eingefangen – der Betreiber wurde von mir schon informiert – einige Antivirenfirmen ebenso. Ich habe den Virus nach seiner Javascriptinstallation isoliert – heraus kam eine TEMP Datei, die in Wirklichkeit eine EXE ist. Sozusagen jene, die das Teil richtig unter Windows  installiert – diese wird an die Virenhersteller zur Analyse verschickt.

Schlagworte : PC

Trixter
Administration Nemesiz v4 Projekt
Aufgaben im Nemesiz: Administrator, Autor & Moderator, Übersetzung & Bugfixing
Freier Redakteur bei Special Interest Magazinen & Online-Blogs
Retro & Emulation, Alternative Computersysteme, Schwerpunkt: Spiele

  • Kommentare

  •  birdy1
     #1 schrieb am 12 März 2015

    (ja, Birdy, genau)
    immer auf die kleinen wink
    Ich habe immer noch keine!

  •  Trixter
     #2 schrieb am 12 März 2015

    Hehe, war mir klar – aber in diesem Fall wäre es besser, eine zu haben. Schon alleine um die dubiose EXE aufzuspüren, bzw. sie am weiteren “Nachladen” zu hindern. Obwohl… nutzt du eigentlich noch einen Windoze-Pc?

    Mittlerweile wurden dank Rokop-Security die gängigsten Antivirensoftwarehersteller informiert und deren Software geupdatet – selbst mein AVG findet jetzt zuverlässig diesen Exploit/Trojaner. Vielen Dank Roman & Ralf von Rokop!

    Wie man am neuen Screenshot gut erkennen kann, lädt, bzw. installiert der Exploit nicht zwangsläufig die im Text beschriebene EXE – sondern ändert den Namen oder nimmt gleich einen modifizierten Ableger – es ist also weiterhin Achtung angeraten.

    Die Jungs vom Buback-Shop nehmen sich jetzt ebenfalls der Sache an und suchen nach der Ursache…

  •  birdy1
     #3 schrieb am 12 März 2015

    Ja, hab noch 3 Windows Pc´s am laufen. Leider reicht mein Budget nicht für einen iMac (27″). Vielleicht im nächsten Leben wink

  •  Trixter
     #4 schrieb am 12 März 2015

    Hehe… abwarten, Birdy. Wie ich dich kenne, kann dieser Mißstand doch nur eine Frage der Zeit sein… wink

  • Schreibe einen Kommentar


    Dein Name (Pflichtfeld):



    Deine Webseite (optional - http://www.):



    Deine E-Mail (wird nicht veröffentlicht):



    Dein Kommentar:

     Soll unser Blog deine Daten für weitere Kommentare merken? (setzt Cookie)
      1x aktiviert ist die Funktion gültig bis Cookielöschung. (Haken rein = Ja)

    Was ist der erste Buchstabe des Wortes oltsd ?
Evtl. Statusmeldungen erscheinen nach dem Absenden in roter Schrift direkt unter
dem Artikel - bitte Herunterscrollen, falls dein Browser wieder zum Anfang der Seite
gesprungen ist. Beachte: Neue Kommentare erscheinen erst nach Freigabe durch
einen Administrator!
Danach wird dein Name mitsamt Email auf unsere Whitelist
gesetzt und deine Kommentare bei uns erscheinen dann immer direkt. (Spamschutz)
DIGITAL TALK-CD 2017