28.01.2008
Auf einem meiner Rechner hatte ich mir vor 4 Tagen offensichtlich ein Adware/Spyware Programm eingefangen, das sich
mit den folgenden Symptomen zeigte:
-
Sobald mein Browser (Mozilla Firefox 2.0.0.11) gestartet war, öffneten in unregelmäßigen Abständen neue Browserfenster
mit (vermeintlich harmlosen) Werbeinhalten.
-
In ebenfalls unregelmäßigen Abständen öffnete sich ein Meldungsfenster, mit der Information, dass mein Rechner mit allem
Möglichen befallen wäre und ich doch bitte ein Programm zur Bereinigung installieren solle. Das Ganze mit einem Verweis
auf eine Zieladresse unter festplattencleaner.com. Damit würde dann alles wieder wunderbar beseitigt ...
Alles in allem eine ziemlich nervige Angelegenheit und beim Googeln zu diesem Problem bin ich auf unzählige Seiten
und Foreneinträge gestoßen, die allerdings alle sehr verzweifelt klangen, da das Problem offensichtlich nicht mit
Anti-Ad-bzw. Anti-Spyware in den Griff zu bekommen ist und auch alle anderen versuchten Maßnahmen keine Wirkung zeigten.
Die meisten Foreneinträge enden mit dem gut gemeinten Rat, das System neu zu installieren, wobei sicherlich auch keine
rechte Freude aufkommen dürfte.
Nach einigem Suchen habe ich nun die folgenden Dinge entdeckt:
-
Das Schadprogramm kopiert sich wahrscheinlich beim Herunterfahren oder Abmelden in das Benutzerverzeichnis
"C:\Dokumente und Einstellungen\[Benutzer]\Lokale Einstellungen\Anwendungsdaten"
-
Es besteht aus 4 Dateien:
zzz.exe
zzz.dat
zzz_nav.dat
zzz_navps.dat
"zzz" ist ein Platzhalter für den eigentlichen Dateinamen, der sich offensichtlich verändert bzw. der entsprechend der
verschiedenen gefundenen Foreneinträge sich unterscheidet. Die Struktur sowie die Verfahrensweise sind jedoch immer
dieselben. Bei mir hießen die Dateien "ksumbuyo.dat", "ksumbuyo.exe", usw.
-
Der Ursprungsort, woher diese Dateien in das o.g. Verzeichnis kopiert werden ist mir unbekannt. Entweder liegen diese
Dateien unter einem anderen Namen bzw. in einem Archiv auf der eigenen Festplatte (von wo aus dann die Erstellung
der Kopie erfogt), oder aber diese Dateien werden aus dem Internet heruntergeladen und an den Zielort kopiert (per HTTP,
oder FTP, alles andere lasse ich nicht zu). Die Quelle scheint, nach allem was ich beim Googeln so gefunden habe, auch
von den gängigen Antiviren bzw. Anti-Spyware-Programmen nicht entdeckt zu werden.
-
Danach trägt sich das Programm in der Registry unter folgendem Schlüssel ein:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
was zum automatischen Start des Programms beim Hochfahren des Rechners führt. Allerdings entfernt das Programm,
sobald es gestartet ist, diesen Eintrag wieder aus der Registry, so dass er beim späteren Kontrollieren nicht mehr
auffindbar ist.
-
Ebenso werden die o.g. 4 Dateien offensichtlich sofort nach der Programmaktivierung wieder gelöscht, so dass auch die
Dateien nicht mehr auffindbar sind. Auch in der Prozessliste von Windows taucht das entsprechende Programm nicht auf.
Entweder ist es dort unter einem anderen Namen eingetragen oder aber es klinkt unter Umgehung der Sicherheitsmechanismen
ein Schad-Plugin im Browser ein und beendet sich anschließend selbst. Wäre denkbar, da die Symptome bei mir bislang
nur bei geöffnetem Browser auftraten.
Lösung:
Ich habe bei mir nun die folgende Lösung gefunden, die zwar die Quelle (sofern sie sich überhaupt lokal auf meinem
Rechner befindet) nicht beseitigt, aber das Problem. Zumindest kann das Schadprogramm auf diese Weise nicht mehr
aktiviert werden.
-
Zunächst sollten alle Dateien und Verzeichnisse im Explorer sichtbar gemacht werden, also auch versteckte und
Systemdateien.
-
Ändern der Verzeichnisberechtigungen des Zielverzeichnisses für die Schadsoftware
"C:\Dokumente und Einstellungen\[AktuellerBenutzer]\Lokale Einstellungen\Anwendungsdaten"
wie folgt:
Entfernen der Berechtigungen des aktuellen Benutzers für:
Vollzugriff
Löschen
und sicherheitshalber auch für:
Unterordner und Dateien löschen
Attribute schreiben
Erweiterte Attribute schreiben
Berechtigungen ändern
Besitzrechte übernehmen
-
Mittels "msconfig.exe" unter dem Reiter "Systemstart" nach dem Eintrag suchen, der unter
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
einen Befehl ausführt, der im Verzeichnis
"C:\Dokumente und Einstellungen\[AktuellerBenutzer]\Lokale Einstellungen\Anwendungsdaten"
liegt. Wie gesagt, das Schadprogramm hat unterschiedliche Namen, daher muss danach gesucht werden. Ein scheinbar
sinnfreier oder kryptischer Dateiname ist hierbei verräterisch. Da unter diesem Pfad normalerweise keine ausführbaren
Programme liegen, dürfte in "msconfig.exe" nur ein Eintrag für das o.g. Verzeichnis zu finden sein.
Dieser Eintrag muss deaktiviert werden. Der Eintrag ist nur über "msconfig.exe" sichtbar. In der Registry selbst
ist er nicht mehr auffindbar.
-
Der Rechner muss jetzt neu gestartet werden.
-
Nach dem Neustart über den Windows-Explorer wieder in das Verzeichnis
"C:\Dokumente und Einstellungen\[AktuellerBenutzer]\Lokale Einstellungen\Anwendungsdaten"
wechseln. Nun müssten die besagten 4 Dateien vorhanden und sichtbar sein. Setzen Sie nun zunächst die
Verzeichnisberechtigungen bzgl. des aktuellen Benutzers wieder auf die ursprünglichen Berechtigungen zurück.
Selektieren Sie dann die betroffenen 4 Dateien und setzen Sie für diese bzgl. des aktuellen Benutzers die
Berechtigungen so, dass ausschließlich die Berechtigungen
Ordner auflisten / Daten lesen
Attribute lesen
aktiv sind.
-
Wiederholen Sie Schritt 3, falls der entsprechende Eintrag in "msconfig.exe" erneut als aktiv aufgeführt ist.
-
Starten Sie den Rechner neu und überprüfen Sie anschließend, ob der Eintrag aus Schritt 3 nun endgültig
verschwunden bzw. deaktiviert ist und nicht neu eingetragen bzw. aktiviert wurde.
Durch das Ändern der Berechtigungen haben wir mit dieser Vorgehensweise dem aktuellen Benutzer, unter dessen
Berechtigungen das Schadprogramm läuft, das Recht entzogen, die Schaddateien zu löschen, zu überschreiben, die
Dateiberechtigungen zu ändern und natürlich auch das Schadprogramm zu starten. Die Dateien sind zwar weiterhin
sichtbar, können aber mit diesen Einstellungen kein Unheil mehr anrichten. Das Schadprogramm kann nicht mehr
gestartet werden und damit kommt der ganze oben beschriebene Kreislauf gar nicht erst in Gang.
Bei mir hat's wunderbar funktioniert, die lästigen Werbepopups sind seitdem verschwunden.
Bei Fragen, Anregungen, Verbesserungsvorschlägen oder Kritik schreiben Sie bitte eine Mail an
software-ecke [at] svenvogt.com.