Unbekannte Schadsoftware - Fernsteuerung, etc.

mccae

Hallo!

Ich hoffe, dass ihr mir hier im Forum helfen könnt, da ich schon am verzweifeln bin.

Für jeglichen Rat wäre ich sehr dankbar.

Leider musste ich heute in meiner Firma sämtliche Rechner unter Quarantäne stellen und jegliche Arbeiten auf Papier tätigen.


Warum?


Als ich mich auf meinem Privatrechner in der Firma einloggen wollte, (Windows XP SP3 - Updates alle 2 Wochen - Avira Antivir Workstation (Professional) 10 - alle 3rd-party apps up2date) meldete sich der Rechner sofort - und bevor der Desktop erschien, wieder aus.

Das Spiel lief ungefähr zwei mal, bis sich plötzlich der Text im Anmeldefenster (STRG + ALT + Entf drücken um sich einzuloggen..) veränderte.

Es erschien in dem Label eine Nachricht (live) von einer fremden Person --> irgendeine Art Remote-Reshack.

Sofort habe ich den Rechner vom Internet getrennt, und ich konnte mich auch ohne Probleme einloggen.

Ich ließ den Computer mit dem vorinstalliertem Avira Antivir Workstation (Professional) 10, Spybot S&D sowie MBAM scannen.


Gefunden wurde von Avira Antivir ein Java-Downloader welcher einen Exploit in der Java JVM genutzt hat um schadhaften Code nachzuladen.
Dies habe ich durch öffnen der verseuchten .jar Datei und anschließendem Dekompilieren herausgefunden.

Fest steht also, dass etwas gedownloadet wurde.

Jedoch weiß ich nicht welches schadhafte Programm dies ist, da es durch die oben genannten Scanner nicht gefunden wird.
Auch eine Analyse des Codes lässt kein kontrolliertes Nachladen zu, da die URL zusammengesetzt wird durch einen Parameter,
der bei Ausführung des Applets nur im Broweserkontext existiert (hat).(getParameter(String parameterName)).

Natürlich habe ich sofort Panik bekommen, und mein Notebook überprüft, welches anscheinend auch betroffen ist.
Beim Notebook wurde durch die drei oben genannten Programme nichts gefunden.

Dennoch habe ich 4 verschiedene Onlinescanner benutzt, wovon nur einer (Eset) noch ein schadhaftes Java Applet im JVM Cache fand.
Dieses habe ich auch sofort auseinandergenommen und ich bei diversen Scannersites geuploaded (jottis, etc.) --> ohne Resultat.

Das Dekompilieren dieses Codes förderte jedoch auch einen Downloader zutage.



Beide Downloader (und auf meinen anderen Rechnern sicher weitere) habe ich mir am 23. Oktober eingefangen (lastmodified date) - wahrscheinlich hängt das mit den infizierten Ads eines großen Anbieters zusammen,
der von Unbekannten an eben diesem 23. Oktober manipuliert wurde - und damit auch alle einbindenden Websites wie zum Beispiel die Flugsuche checkfelix.at. (Auch alte Exploits wie der mit dem Windows Supportcenter - welches sich öffnete - wurden probiert).

Ok, die Downloader sind da und wurden ausgeführt - da kann ich nichts mehr machen außer den Cache zu leeren und prophylaktisch Java im Browser zu deaktivieren.


Die große Frage ist jetzt:
Wurde etwas nachgeladen?

Wenn ja, was?
Was tut das Schadprogramm?

Leider musste ich auch festellen, dass alle Rechner in meiner Firma - sowohl meine 2 privaten, als auch die Workstations betroffen sind.
Es handelt durch die verschiedenen Downloader höchstwahrscheinlich auch nicht um die selbe nachgeladene Schadsoftware.

Nur mein Privat-Desktop-PC hat mit sich mit dem ferngesteuerten Outen des Kriminellen (fahr zur Hölle) den Stein ins Rollen gebracht.


Bitte helft mir, und sagt mir was ich außer einer Neuinstallation des Betriebsystems (Auf den Maschinen ist mit Ausnahme eines Rackservers immer Windows XP SP3 installiert) tun kann.
Das neue Aufsetzen würde mich samt Datenrettung mehrere Werktage kosten (und auch das kommende Wochenende würde flöten gehen).

Diesen Stress sowie unnötige Überstunden will ich mir sparen.


Hat jemand von euch Schritt-für-Schrittanleitungen für mich um herauszufinden worum es sich handelt? (Als Informatiker brauche ich nicht unbedingt idiotensichere Instruktionen )


Ihr weiß nämlich nicht was ich tun soll, da meine letzte Infektion 5 Jahre zurückliegt und mich ein Perverser mit "Bifrose" über meine Webcam beobachtet hat. (Server IP entpackt und dem ISP gemeldet - hey hey hey)

Der Fakt, dass WIEDER jemand in meine Privatesphäre eindringt, lässt mich nicht ruhig schlafen (Man bedenke, dass ein Download am 23 Oktober stattgefunden hat).

Bitte helft mir.

Grüßen und vielen Dank im Voraus,
Phil

PS

Wer interessiert ist, kann sich den harmlosen Sourcecode des zweiten Downloaders (von meinem Laptop) ansehen (ZIP-passwort: infected).
Der Downloader des ersten PCs ist beim Bereinigen leider verlorengegangen. (War jedoch: hxxp://www.threatexpert.com/report.aspx?md5=21338e8683d39d631475ea048b8669d5).