XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt

marcellobln

Hallo zusammen,

ich hatte gestern einen Hilferuf von einer Freundin bekommen, dass sie einen Virus auf dem Computer hat.

Was war geschehen?
Sie erhielt eine E-Mail mit einem Anhang (Lebenslauf.zip). Da sie gerade neue Mitarbeiter sucht, hat sie sich nichts weiter dabei gedacht und das Zip-File geöffnet und den Lebenslauf auch. ( Wer denkt auch an sowas im Alltagsbetrieb).

Damit war es geschehen.

Ab sofort klebte eine nette rot-schwarze Warnung auf dem Computer, dass alle Dateien mit einer RSA-Algorithmus verschlüsselt seien usw. usw...

Was habe ich getan?

Ich habe mir den PC einmal genauer angeschaut und dabei verschiedene Dateien gefunden.
Es wurde der Prozess in C:\Users\Benutzer\AppData\Roaming\uljrom1rjvq87zfu.hta in die Autostart gepackt.
Diese HTA-Datei war das Resultat des Scripts was in der Lebenslauf.WSF-Datei enthalten war.

Des Weiteren waren einige Key-Dateien (xipr.KEY und CONFIRMATION.KEY) auf dem System, so wie eine versteckte Textdatei (den den Inhalt der rot-schwarzen Meldung hatte).

Ich habe alle "bösen" Dateien die mit dem Prozess zusammen hingen entfernt aus dem ROAMING Ordner des Benutzers, so wie das Temp-Verzeichnis in Verzeichnis Local geleert (zu erreichen via %AppData% im Explorer).
Mit dem CCleaner habe ich dann den Eintrag für die Autostart manuell aus der Registry gelöscht und anschließend noch einmal das System gereinigt.
Nach dem ich diesen ganzen Müll entfernt habe, scheint der PC wieder sauber zu sein.
Zumindest hat Kaspersky IS 2016 + WinDefender nichts mehr gefunden.

Was haben wir daraus gelernt?
Mich hat zudem interessiert, wieso ihr Virenscanner versagt hat.
Ich habe mir also die böse E-Mail einmal geschnappt und es auf meinem PC heruntergeladen. Mein Virenscanner (MS Windows Defender) hat mir sofort die Datei in Quarantäne gesteckt und Alarm geschlagen. Natürlich war ich nicht so mutig, um die Datei direkt auf dem Browser zu öffnen und auszuführen.

Wenn ich Anhänge von unbekannte Dritte erhalte, speichere ich diese (wenn überhaupt) immer erst lokal und scanne sie, bevor ich was öffne oder ausführe, damit mir genau dass, was der Freundin passiert ist nicht widerfährt.
Wenn Sie die Lebenslauf.zip zwischengespeichert hätte, wäre es glaube ich nicht so weit gekommen.

Welchen Schaden hat Sie erlitten?
Fast keinen.
Es wurden nur eine handvoll Dateien verschlüsselt, welche aber nicht weiter kritisch sind/waren. Sie kam mit einem Schrecken, einer wichtigen Lektion und einem virtuellen blauen Auge davon. Schade das der Virenscanner diesen Weg (Datei direkt temporär geöffnet und ausgeführt) nicht abgefangen hat.
Sie weiß jetzt auch, dass sie lieber einen Klick mehr machen sollte und sich bei unbekannten Anhängen lieber auch eine Minute mehr Zeit nimmt, um so etwas zu verhindern.

Wichtiger Hinweis!
Die Bilder zeigen unter anderem den schädlichen Quellcode. Ich bitte darum diesen nicht weiter zu verwenden. Ich poste das hier, damit man sich als User vor solchen schadhaften Anhängen schützen kann.
Für alle die diesen Code in der eigenen Umgebung ausführen, wird keine Verantwortung meinerseits übernommen.

Um an die Informationen der Dateien zu gelangen, habe ich die Dateien in einer abgeriegelten VM bearbeitet/eingesehen.

Miniaturansicht angehängter Grafiken

 

Angehängte Grafiken

	Text-Datei.jpg (47,5 KB, 326x aufgerufen)
	Quellcode-wsf-Datei.jpg (104,1 KB, 375x aufgerufen)
	Virus-Alarm-Download.png (81,4 KB, 475x aufgerufen)