Story: Trügerische Sicherheit durch Virenkiller

Ein versierter PC User (nein, das ist nicht mir passiert!), verwendet für Internetbanking und diverse Onlinegeschäftsaktivitäten ausschließlich eine Linuxdistribution, da dieses OS weniger anfällig für diverse  Trojaner und andre Malware ist. Obwohl ansonsten sehr linuxlastig unterwegs, wird ab und an auch gespielt. Die „Spielerei“ findet dann in MS Windows statt.

Um sicherzustellen, dass sich auch unter MS Windows nichts „Böses“ in das System einnistet, wird eine namhafte Anti-Virus-Suite verwendet. (Es handelt sich hierbei NICHT um einen kostenlosten Scanner).

Weiter im Text: …nach der Gaming-Session will man sich schnell mal im Internet über aktuelle Reiseangebote gen Süden informieren… noch bevor man so richtig realsiert, dass man sich wohl besser FRÜHER -und zwar in der Vorsaison zwecks günstigerer Konditionen- um den Urlaub gekümmert hätte, „macht der PC so komische Sachen“:

  • Der PC ist gesperrt
  • zeigt eine Polizeiwarnung an (wobei das sehr stark variiert, da es zig Varianten des Trojaners gibt. In Österreich bekommt man oft das Originallogo der Polizei angezeigt, in Deutschland das der deutschen Polizei, manchmal aber auch FBI etc.)
  • man müsse 2 x EUR 50,00 überweisen (Stichwort Ukash)
  • es wurde unerlaubter Inhalt angeschaut
  • Taskmanager, abgesicherter Modus etc funktionieren NICHT mehr

Nun komme ich ins Spiel ;).

Mein erster Gedanke war: „Nimmste Desinfect von Heise, bootest von selbiger Live CD und scannst die Kiste“. Also hochgefahren, Virendefinitionen auf den letzten Stand aktualisiert und gescannt. Nach einiger Zeit schließlich die Ernüchterung. Keine infizierten Elemente gefunden!

Naja, dann weichen wir eben auf Bitdefender Live CD aus… Resultat: Nichts gefunden.

Dann mache ich etwas, was eigentlich gar keine gute Idee ist: Ich schließe die Platte per USB Adapter an meinen PC an und lasse die gesamte Platte von Norton Antivirus 2012 durchsuchen. Auch Norton attestiert der Platte, dass sie clean ist. Ebenso ergeht es mir mit Malwarebytes Antimalware.

Offenbar handelt es sich hierbei um eine bislang noch nicht bekannte Version eines Trojaners oder dgl.

Aber ein paar „Rettungsanker“ habe ich ja noch:

  • GMER (findet aber keine Auffälligkeiten)
  • Nai Getsusp (meldet schließlich einige Suspect-Files)

Um sicher zu gehen nehme ich Kontakt mit dem McAfee (NAI) Support auf und  übermittle die Suspect-Files.

Einen Tag später schickt mir Mcafee (NAI) eine Extra.dat. Dies is eine zusätzliche Virendefinitionsdatei, die in dem Fall den Trojaner : PWS – ZBOT finden und entfernen soll.

Auf einem PC, auf dem McAfee Virusscan läuft, spiele ich die Extra.dat ein und lasse wiederum einen Scan der Festplatte laufen.

Schließlich und endlich findet Virusscan den „Zbot“ und entfernt ihn.

Und die Moral von der Geschicht

…100% Sicherheit gibt es nicht!

Was man anhand dieses Beispiels eindrucksvoll vor Augen geführt bekommt ist, dass man sich – obwohl eigentlich ein recht guter Schutz besteht –  immer noch etwas „einfangen“ kann.

Mir stellt sich  allerdings die Frage, ob diese drive-by Attacke möglich gewesen wäre, wenn der User NICHT mit Adminrechten gearbeitet hätte.

2 Kommentare

  1. Eigentlich ist das nicht wirklich unbekannt. Aber wie dem auch sei. Man kann das System durchaus schützen und zwar mit etwas Handarbeit.

    Was auf KEINEM! Windows PC fehlen sollte (solange es kein Touchgerät ist), ist, dass die cmd mit Systemrechten im Anmeldebildschirm aufrufbar ist. Also dort, wo normalerweise die Bildschirmtastatur oder dergleichen kommen würde (unten links).

    Hier dazu mal ein Youtube-Video wie man das anstellt:

    https://www.youtube.com/watch?v=LpqxU4WOmRg&feature=relmfu

    Dann kann man dort zumindest völlig normal arbeiten, wie Taskmanager öffnen, Regedit etc pp und das Teil manuell entfernen 😉 Gruß

    1. Hallo,
      war mir klar, dass das nicht unbekannt ist 😉

      Offenbar jedoch handelte es sich um eine neue Variante, weshalb die Virenkiller ins Leere gelaufen sind.

      Danke für den Youtube. Link!

Schreibe einen Kommentar zu Daniel Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Zustimmung zur Datenspeicherung lt. DSGVO

*

Ich bin damit einverstanden

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.