Viele Viren und Trojaner, aber auch eine Menge lästiger Programme, wie etwa das Startmodul von Quicktime, installieren sich ungefragt in den Autostart von Windows.
Ergebnis ist, dass diese Programm dann bei jedem Neustart mehr oder weniger unbemerkt gleich mitgestartet werden. Das stellt also einen folgenschweren Eingriff in die Ssystemsicherheit von Windows dar. Und trotzdem gibt das Betriebssystem darüber keine Meldung aus.
Werkzeuge wie das bekannte Tool Spambot Search & Destroy bringen auch gleich ein Überwachungsprogramm für die Autostarteinträge mit. Aber mag es an meinem Monitor liegen oder an Programmierfehlern: Dieses Teil meldet zwar brav alles, aber ich erreiche nicht mal die Buttons richtig. :-(
Da ist ein winziges und schon ziemlich altes Winzigtool doch wesentlich besser geeignet. Die Rede ist von Mike Lins Tool Startup Monitor.
Das kleine kostenlose Freeware-Programm installiert sich problemlos und überwacht fortan den Versuch jedes Programms und jeder Installation, sich selbst in die Autostartgruppe einzutragen. Ist das der Fall, so meldet sich der Startup Monitor und bietet an, diesen Eintrag zu verbieten oder zuzulassen.
Meiner Meinung nach gehört das zur Grundausstattung eines sicheren Rechners.
Zur Homepage
Wenn man einen Virus einschleusen will, dann muss dieser ein paar Regeln erfüllen
- Er muß so neu sein, dass ihn keiner erkennt
- Er muß unverdächtig sein
- Er muß unbemerkt arbeiten
Diese Regeln erfüllt ein Virus, der jetzt auf meinem Testsystem aufgeschlagen ist.
Die 225.280 Byte große Datei trägt den harmlosen Namen svchost.exe. Diesen Namen trägt auch eine wichtige Systemdatei von Windows.
Sie legt sich ab unter C:\Windows\svchost.exe
Netter Versuch… aber korrekterweise gehört diese Datei ins Systemverzeichnis von Windows! Und nicht in den Windows-Hauptordner selbst.
Und dann trägt sich das Teil doch frecherweise in die Autostartgruppe ein…
Das machte den Virus verdächtig. Ebenfalls verdächtigt war dann, dass diese Datei so neu war, was das Erstellungsdatum betrifft. Sie sollte schon so alt wie Windows sein.
Virustotal jedenfalls schlug Alarm:
| Antivirus |
Version |
Update |
Result |
| AhnLab-V3 |
2007.3.22.0 |
03.21.2007 |
no virus found |
| AntiVir |
7.3.1.44 |
03.21.2007 |
no virus found |
| Authentium |
4.93.8 |
03.20.2007 |
no virus found |
| Avast |
4.7.936.0 |
03.21.2007 |
no virus found |
| AVG |
7.5.0.447 |
03.21.2007 |
no virus found |
| BitDefender |
7.2 |
03.21.2007 |
no virus found |
| CAT-QuickHeal |
9.00 |
03.20.2007 |
no virus found |
| ClamAV |
devel-20070312 |
03.21.2007 |
no virus found |
| DrWeb |
4.33 |
03.21.2007 |
no virus found |
| eSafe |
7.0.14.0 |
03.20.2007 |
no virus found |
| eTrust-Vet |
30.6.3497 |
03.21.2007 |
no virus found |
| Ewido |
4.0 |
03.21.2007 |
no virus found |
| FileAdvisor |
1 |
03.21.2007 |
no virus found |
| Fortinet |
2.85.0.0 |
03.21.2007 |
suspicious |
| F-Prot |
4.3.1.45 |
03.20.2007 |
no virus found |
| F-Secure |
6.70.13030.0 |
03.21.2007 |
W32/Malware.LZM |
| Ikarus |
T3.1.1.3 |
03.21.2007 |
no virus found |
| Kaspersky |
4.0.2.24 |
03.21.2007 |
no virus found |
| McAfee |
4988 |
03.20.2007 |
no virus found |
| Microsoft |
1.2306 |
03.21.2007 |
no virus found |
| NOD32v2 |
2132 |
03.21.2007 |
no virus found |
| Norman |
5.80.02 |
03.21.2007 |
W32/Malware.LZM |
| Panda |
9.0.0.4 |
03.21.2007 |
Suspicious file |
| Prevx1 |
V2 |
03.21.2007 |
no virus found |
| Sophos |
4.15.0 |
03.13.2007 |
no virus found |
| Sunbelt |
2.2.907.0 |
03.16.2007 |
VIPRE.Suspicious |
| Symantec |
10 |
03.21.2007 |
no virus found |
| TheHacker |
6.1.6.078 |
03.20.2007 |
no virus found |
| UNA |
1.83 |
03.16.2007 |
no virus found |
| VBA32 |
3.11.2 |
03.21.2007 |
no virus found |
| VirusBuster |
4.3.7:9 |
03.21.2007 |
no virus found |
| Webwasher-Gateway |
6.0.1 |
03.21.2007 |
Virus.Win32.FileInfector.gen (suspicious) |
| Aditional Information |
| File size: 225280 bytes |
| MD5: c182282c37890c6878a9304962d6d137 |
| SHA1: bf7a5e4b86c05510eca42b9f66276b381d028109 |
| Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
Jotti leider nicht so
| AntiVir |
Keine Viren gefunden
|
| ArcaVir |
Keine Viren gefunden
|
| Avast |
Keine Viren gefunden
|
| AVG Antivirus |
Keine Viren gefunden
|
| BitDefender |
Keine Viren gefunden
|
| ClamAV |
Keine Viren gefunden
|
| Dr.Web |
Keine Viren gefunden
|
| F-Prot Antivirus |
Keine Viren gefunden
|
| F-Secure Anti-Virus |
Keine Viren gefunden
|
| Fortinet |
Keine Viren gefunden
|
| Kaspersky Anti-Virus |
Keine Viren gefunden
|
| NOD32 |
Keine Viren gefunden
|
| Norman Virus Control |
W32/Malware.LZM gefunden
|
| Panda Antivirus |
Keine Viren gefunden
|
| VirusBuster |
Keine Viren gefunden
|
| VBA32 |
Keine Viren gefunden
|
Und auch mein derzeitiger Scanner, Avast Free Edition, ließ die Datei gänzlich unbeeindruckt. (OK, das wird schnell geändert sein, ich habe ihnen den Virus geschickt).
Im Update werde ich Euch dann verraten, um was es sich handelt…
Wieder mal versuchen die Bot-Netz-Betreiber, uns einen Trojaner mittels einer gefälschten Rechnung unterzujubeln.
Anhang: T-Com.zip
In der Zip-Datei befindet sich eine: Telekom.pdf.exe, die sich mit einem PDF-Icon zu tarnen versucht.
Jotti meint dazu:
| Telekom.pdf.exe |
| |
|
| Status: |
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
|
| Entdeckte Packprogramme: |
-
|
| |
| AntiVir |
TR/Dldr.iBill.AD gefunden
|
| ArcaVir |
Keine Viren gefunden
|
| Avast |
Keine Viren gefunden
|
| AVG Antivirus |
Keine Viren gefunden
|
| BitDefender |
Trojan.Spy.BZub.II gefunden
|
| ClamAV |
Trojan.Downloader-3861 gefunden
|
| Dr.Web |
Keine Viren gefunden
|
| F-Prot Antivirus |
Possibly a new variant of W32/Document-disguised-based!Maximus gefunden
|
| F-Secure Anti-Virus |
Trojan-Downloader:W32/Nurech.BE, Trojan-Spy.Win32.BZub.ii gefunden
|
| Fortinet |
Keine Viren gefunden
|
| Kaspersky Anti-Virus |
Trojan-Spy.Win32.BZub.ii gefunden
|
| NOD32 |
Win32/TrojanDownloader.Nurech.NAQ gefunden
|
| Norman Virus Control |
Keine Viren gefunden
|
| Panda Antivirus |
Keine Viren gefunden
|
| VirusBuster |
Trojan.DR.BZub.Gen.8 gefunden
|
| VBA32 |
Trojan-Spy.BZub.1 (paranoid heuristics) gefunden (mögliche Variante)
|