Virenkiller.de

Am Montag morgen schlug er hier auf, wurde von mir an Sophos weitergeleitet und hat seit Montag vormittag einen Namen: Der Trojaner-Virus Troj/Clagger-AB

Er kündigte sich bei mir in einer ziemlich gutaussehenden, aber völlig hirnrissigen Rechnungsankündigung an, die mir mitteile, ich hätte über 8.000 Euro zu zahlen. Die Rechnung würde an der Mail anhängen.

Da hing dann eine Datei namens Rechnung.pdf.zip dran, welche als Rechnung.pdf. exe den ausführbaren Trojaner enthielt.

Dieser nistet sich laut Sophos auf dem Rechner ein, lädt Dateien aus dem Internet nach und verwandelt somit den Rcehner in einen „Bot“, mit dessen Hilfe Spammails versendet werden können.

Die meisten Scanner erkennen ihn angeblich. Ewido kanns noch nicht und der Grisoftscanner auch nicht.

Was tun?

Wie immer: Kopf einschalten, mail löschen, keine Anhänge öffnen, keine ausführbaren Dateien starten :-)

Nachtrag 30.8./14:00 Uhr)
AVG-Free von Grisoft hat ein Update geliefert und erkennt ihn jetzt als „Downloader.Generic2.MRP

„Der Ashampoo-Man hat wieder zugeschlagen“ heißt es auf der Webseite und gemeint ist damit die Freigabe der Ashampoo FireWall als Freeware.

Naja, so ganz umsonst ist bekanntlich nichts und Ashampoo verlangt als Gegenleistung die Emailadresse. Die nämlich muß man eingeben, um den kostenlosen Freischaltungscode geschickt zu bekommen.

Das ist uns – Server überlastet, Scriptfehler? – leider trotz mehrmaligen Versuchs nicht gelungen. Doch das tut einem ersten Test eigentlich keinen Abbruch, schließlich handelt es sich ja um eine Testversion, die auch ohne Code für 10 Tage läuft.

Nun ja… laufen sollte. Da gab es bei uns gleich mehrere Probleme. verzeichtet man auf den Neustart des Rechners nach der Installation und startet die Firewall einfach mal so, dann arbeitet sie auf den ersten Blick ganz anständig, doch echte Probleme gibt es bereits nach wenigen Augenblicken:

Die Mischung aus Spamfilter und Pop3-Überwachungsprogramm kann nicht mehr arbeiten.

Wir setzen hier PopMan in Zusammenarbeit mit dem Spamfilter Spamihilator ein. Ein unschlagbares und sehr nützliches Team – bis zum Einsatz der Firewall von Ashampoo.

Zwar fragt die FireWall brav, ob es den beiden Programmen „Vollzugriff“ geben soll und wir bejahen das durchaus, doch bringt das nicht das erwartete Ergebnis. Denn ab sofort kann Popman über den Spamihilator keine Post mehr abholen.

Beide haben „Vollzugriff“. Doch die Tatsache, dass der Spamihilator einen lokalen Server aufmacht, über den PopMan dann mit dem Internet kommuniziert, mag die Ashampoo FireWall wohl gar nicht. :-(

Andere Firewalls hatten in unseren Tests da keinerlei Probleme!

OK, das alles bezieht sich aber auf die „handgestartete Version“. Wie sieht es denn aus, wenn wir den Rechner mal brav neu starten und dann die Firewall gleich beim Start laden lassen?

Bescheiden sieht es aus!

Sie startet nämlich nicht. Blockiert den Start erst mehrere Minuten und meldet sich dann mit „Exception Errors“ und ähnlichem.

Für so etwas haben wir keine Zeit. Auch sehen wir uns nicht als Betatester der Industrie und haben kein weiteres Interesse daran, denen nun noch die Speicheradressen zuzuschicken oder gar unseren Spamfilter abzuschaffen.

Darum unser Urteil: Finger weg von der Ashampoo-Firewall, wenn man nicht gerade ein totales 0815-DAU-User-System hat. Da gibt es ausgereiftere Programme, ebenfalls kostenlos…

Wir haben es rückstandsfrei gelöscht.

Wers trotzdem mal probieren will, hier der Link:
http://www.ashampoo.com/frontend/products/php/product.php?session_langid=1&idstring=0050

Kleiner Nachtrag: Wie sorgfältig die Software entwickelt wird, merkt man vielleicht im Programmfenster „Statistik“. Dort kann man nämlich nachlesen, wie viele Zugriffe „insgesammt“ blockiert wurden. Und das wird selbst nach der Anpassung unserer Rechtschreibung an unseren intelektuellen Bodensatz immer noch mit einem m geschrieben.

Die Firma Sophos bietet allen ein kostenloses Tool, mit dem sogenannte Root-Kits festgestellt und beseitigt werden können.

Rootkits nennt man schädliche Software, die den Benutzer des Computers überwachen oder kontrollieren soll und die mit hinterhältigen Tricks vor ihm versteckt wird.

Das Toolkit hilft, diese Software zu enttarnen. Sie ist für Windows und nahezu idiotensicher zu bedienen. Im Test war sie recht schnell und fand sogar alle versteckten Dateien, die mit Microsofts „Private Folder“ doch scheinbar so gut getarnt waren :-) Also auch ein hervorragendes Tool, um damit mal zu gucken, was dieAngestellten denn so auf dem Rechner verstecken.

Link: http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html

Ob Sie es glauben oder nicht, die größte Schwachstelle die von Virenprogrammierern ausgenutzt wird, ist nicht irgendein Fehler von Windows. Das schächste Glied sitzt zwischen den Ohren der Opfer!

Viel zu unbedacht wird auf alle möglichen Anhänge geklickt, werden Archive geöffnet und werden Viren und Trojaner installiert.

Klar, die Programmierer dieser Viren sind ja auch raffiniert.

Da kommt beispielsweise eine Mail mit dem Betreff „eBay Rechnung vom 14 August 2006″, in der es heißt, Faelliger Gesamtbetrag: ||1064,39

Als Anhang kann man sich eine PDF-Datei angucken, die seltsamerweise aber in einem Zip-Archiv versteckt ist. Diese wiederum enthält eine Exe-Datei namens „Ebay-Rechnung.pdf“.

Die meisten Leser dieses Berichts werden sich nun fragen „Wie blöd muss man eigentlich sein, um diese Datei auch noch starten?“.
Dieser Trojaner mit dem Namen Troj/Clagger-U
(http://www.sophos.de/virusinfo/analyses/trojclaggeru.html)
ist bekannt und wird von jedem Antivirenprogramm auch erkannt bzw. bekämpft. Wer also ein solches im Betrieb hat, ist nicht unmittelbar gefährdet. Aber der eigentliche Schutz beginnt doch viel früher!

Ich meine, was sagt man sich schließlich, wenn es einen mal so richtig erwischt hat? Hätte ich doch nicht…

Doch dann ist es zu spät. Aber Menschen sind ja (meistens) lernfähig. Doch dazu muss es leider oft erst einmal zu einem Schaden kommen und das ist bei modernen Viren nur noch selten unmittelbar der Fall.

Früher haben Viren Dateien gelöscht, Festplatten formatiert und Bilder angezeigt. Heute haben wir es mit einer ganz anderen Bedrohung zu tun. Heute will sich der durchschnittliche Virenprogrammierer bzw. -Verbreiter nicht mehr „interessant machen“. Heute will er Knete!

Und die bekommt er, indem er mit seinen Programmen Millionen von Rechnern befällt und sie hinterrücks zu Gruppen von Sklavenarbeitern zusammenfasst, die nun fleißig Spam in alle Welt verbreiten. Oder er beobachtet alles eingetippe so lange, bis der User seine Bank online besucht. Dann meldet er brav URLs und Passworte an sein Herrchen, dass dann die Konten leerräumen kann.

Aber alles beginnt mit dem schicksalhaften Klick auf den Anhang.

Denken Sie nach, bevor sie Emails öffnen. Denken Sie nach, bevor Sie einen Mailanhang anklicken. Denken Sie doch einfach mal VORHER nach!