Servus Leute,
ich hatte jetzt am WE das Vergnügen mal wieder einen virenverseuchten Laptop richten zu dürfen... Doch dieses mal war es nicht der übliche Krempel, sondern durchaus etwas härter. Es handelte sich um das Rootkit Zero.Access, welches mit an Sicherheit grenzender Wahrscheinlichkeit durch einen Exploit in Java auf den Rechner gelangt ist. Dieser Exploit ist eigentlich schon seit Monaten bekannt, wurde aber beinahe ebenso lange nicht gefixt. Und jetzt wird es interessant: Es betrifft auch Macs -> und ja, ich meine die Macs die von Apple vertrieben werden. Diese setzen ebenso wie herkömmliche PCs mittlerweile Java ein und sind daher für diese Art von Schadsoftware ebenso anfällig.
Ich lege euch nahe mal zu kontrollieren ob bei euch Java installiert ist und das ggf vom System zu entfernen, da mutmaßlich noch ein weiteres Sicherheitsleck in der Software ist welches evtl noch nicht gefixt wurde.
Bei meinem Kunden wurden wir durch das Erscheinen einer sogenannten Scareware auf das Problem aufmerksam. Dabei handelte es sich um den Fake-Virenscanner "Live Security Platinum". Der zog eine riesen Show ab mit einem Fake Scan, bei dem natürlich im Sekundentakt Viren, Trojaner, Würmer und Dialer gefunden wurden. Man konnte das kaum wegklicken, ständig fragte er einen ob man das nun so lassen will oder nicht lieber ( natürlich kostenpflichtig ) das System bereinigen möchte...
Im abgesicherten Modus von Windows habe ich also das Programm entfernt und die einzelnen Dateien aus dem System gepoolt. Zunächst schien auch alles behoben. Dann wollte ich das offenkundig beschädigte Microsoft Security Essentials erneut installieren, da der Echtzeitschutz nicht mehr funktionierte, wohl durch eine Beschädigung bzw Löschung des entsprechenden Services durch den Trojaner. Nun stellte sich aber heraus daß diese Scareware in Form des Fake Virenscanners wohl nur die winzige Spitze eines gewaltigen Eisbergs war. Den kaum war das Microsoft Programm installiert fand es auch nur Minuten später im obligatorischen Suchlauf eine Bedrohung, welche in einem "kritischen Fehler" mündete und einen unabbrechbaren Neustart des System zur Folge hatte. Nun wurde es durchaus etwas häßlicher, da man den Computer jetzt nicht mehr wirklich benutzen konnte, folglich auch keine echten wirksamen Gegenmaßnahmen ergreifen konnte. Kaum gestartet erkannte Microsoft Security Essentials sofort eine Bedrohung und zog die Datei in die Quarantäne ein, was sofort wieder zu einem "kritischen Fehler" führte.
Zum Zeitpunkt der Infektion tat übrigens mit aller Wahrscheinlichkeit nicht Microsoft Security seinen Dienst, sondern Avast oder Avira, jedenfalls waren vor zwei Wochen die funktionslosen Fetzen dieser Programme auf dem Rechner, als ich erstmalig gerufen wurde einen Fake Antivirus zu entfernen. Möglicherweise habe ich damals aber ebenfalls nur die Spitze des Eisbergs verarztet und der Rest war schon drauf, oder wurde durch das Rootkit bzw den damit verborgenen Trojaner nachgeladen über Netz, wer weiß.
Fest steht jedenfalls, daß dieser Trojaner / Rootkit u.a. durch einen Exploit in Java auf den Rechner gelangen kann, daher sollte Java entfernt werden. Es genügt sonst schon das bloße Betreten einer verseuchten Seite um sich zu infizieren, egal mit welchem Browser man die Seite besucht. Der Anwender bekommt davon auch zunächst nichts mit. Man kann davon ausgehen, daß der PC dann bei bestehender Internet Verbindung als "Zombie" und durch den Anwender weitestgehend unbemerkt in einem Bot-Netzwerk hängt um zb Spam Mails zu verschicken oder kostenpflichtige Fake Antiviren Programme zu empfangen etc. Das Geschäft mit den Bot-Netzwerken scheint jedenfalls gut zu laufen.
Falls ihr Java auf dem Rechner bei euch findet würde ich raten mal genauer hinzusehen und nach diesem speziellen Zero.Access Rootkit zu scannen. Kasperksy bietet dazu wohl die TDSSKiller.exe an. Aber auch andere Anbieter haben da teilweise was auf Lager. Hat eine Infektion stattgefunden ist wohl eine Neuinstallation angesagt, da man bei diesen Rootkit Geschichten nie wirklich sicher sein kann alles zu erwischen. Das empfehlen auch die Antiviren Hersteller teilweise selbst, die Infektion ist einfach zum umfangreich.
Der Trojaner selbst ist recht fies. Er sucht sich nach efolgter Infektion eine beliebige Treiber Datei und setzt sich in diese hinein, dabei löscht er den Treiber jedoch nicht sondern läßt sich statt des Treibers vom System laden und stellt dann die Verbindung zur eigentlichen Treiberdatei her, damit auch alles noch schön funktioniert. Findet jetzt irgendein Virenscanner wir zb Microsoft Security Essentials oder Avira, oder was auch immer, diese Datei und verschiebt sie in Quarantäne, dann bricht auch die Verbindung zu dem btroffenen Systemtreiber ab und erzeugt den eingangs erwähnten "kritischen Fehler" der zum Herunterfahren des Systems führt. Hier hilft es auch nicth Neustart bei schwerwiegenden Fehlern abzuschalten, er startet trotzdem neu. Auch mit dem Kommando shutdown -a in der Kommandozeile ließ er sich nicth stoppen, er geht trotzdem runter.
Das nur als Warnung, sowas in der Ausführung habe ich bis jetzt noch nicht gesehen. Sonst waren es meist die Fake "BKA" oder "Gema" Viren, aber der heute ist schon etwas spezieller und auch nerviger. Das System wird jedenfalls formatiert, nun geht es nur noch darum die Bilder zu retten, die natürlich nicht extern gesichert wurden, weil sie zu wichtig waren...