TR/Crypt.Redol eingefangen?
 

Hallo zusammen,

bei mir wollte sich vor ein paar Tagen CryptRedol.Gen.2.3 oder Alureon installieren, bin jetzt aber nicht sicher ob er das wirklich auch getan hat oder ob ich Glück gehabt habe.

Ich habe mir von unserem WG-Fileserver die Nero 9.4.12.13b Trial heruntergeladen (ja, ich weiß, sollte ich mir direkt von Ahead holen, nur machen 400MB Download bei DSL1000 keinen Spaß und es musste mal wieder schnell gehen... also umso besser, wenn's einer der WG Kollegen schon geladen hat) und wollte die installieren. Ich habe die Datei zwar noch mit Malwarebytes AntiMalware gescanned (so ganz traue meinen Mitbewohnern da auch nicht - war aber sauber), anschließend aber vergessen, den Guard von AntiVir wieder zu aktivieren. Der zweite Fehler war dann, bei OnlineArmor den InstallModus anzuklicken.

Zuerst mal ist mir aufgefallen, dass es relativ lang gedauert hat, bis der Nero-Entpacker gestartet ist, zum anderen hat sich am Ende des Entpackvorganges der Rechner mit einem BSOD verabschiedet. Ich habe es dann ein zweites Mal probiert, wieder mit demselben Ergebnis. Zunächst habe ich mir nicht viel dabei gedacht, dann hat aber AntiVir ein paar Stunden später beim Laufwerksscan zwei sys-Dateien mit Zufallsnamen in Windows\System32\Driver als TR/Crypt.Zpack gemeldet. Bei Virustotal habe ich die Datei hochgeladen und 3/41 Treffer als Ergebnis (sorry, hab's nicht gebookmarked und die Dateien sind mittlerweile gelöscht - könnte zur Not aber mal schauen, ob die sich wiederherstellen lassen). Ich habe dann auch mal noch eine Meldung bekommen, dass Services.exe auf eine dieser Dateien zugreifen will, was ich mit OnlineArmor geblockt habe - die Meldung kam aber nicht beim Start, sondern nachdem ich eine dieser Dateien aus der Quarantäne nach C:\Temp kopiert habe um die zu VirusTotal zu schicken - wobei seltsamerweise im Log von OnlineArmor nichts zu finden war. Die einzige Kopie der Services.exe konnte ich bei einer Suche direkt danach in C:\Windows\System32 finden, also dort wo sie hingehört, und die ist laut VirusTotal.com sauber. Auch im Task-Manager gab es nur eine Version. Ich habe sicherheitshalber aber mal alle Temp-Ordner geleert.

Ich habe danach den Rechner zunächst mal vom Netz getrennt (außer für Definitionsupdates und den Kaspersky Scan) über die nächsten Tage mit allen möglichen Programmen gescanned:
A2, Malwarebytes AntiMalware, AdAware, Avast, Antivir, Spy Doctor (auf dem Rechner)
Kaspersky (online)
F-Secure, Knoppicillin 6 (von CD)
Gmer, Blacklight (Rootkit-Suche)
ThreatAlert MemoryScanner
OnlineArmor (Netzwerkverkehr überwacht, allerdings nur visuell, Log war nicht aktiv)

Das Ergebnis war grundsätzlich negativ, hat absolut gar nichts gefunden. Dann habe ich auch noch das HijackThis Log auf HijackThis.de durch die automatische Analyse laufen lassen, da gab es soweit ich erkennen konnte auch keine Auffälligkeiten. Die F-Secure CD habe ich zwei Tage später nochmal mit neuen Definitionen laufen lassen, wieder negativ.

Hat mich jetzt aber noch nicht so richtig beruhigt und als ich dann noch festgestellt habe, dass die Datei auf unserem Fileserver etwas größer ist als das Original von Ahead (das ich mittlerweile dann doch geladen habe), habe ich diese Backup-Datei mal in einer Parallels VM auf dem MacBook laufen lassen. Und da kam folgendes raus (zunächst mal sorry, dass es nur grob ist, hab ich mitten in der Nacht gemacht und die VM-Datei anschließend gleich gelöscht) - überwacht mit Online Armor:

### Bezieht sich ab hier auf den Test in der VM ###

Das Setup entpackt zuerst eine .tmp Datei mit knapp 400 MB im temporären Ordner des Benutzers. Anschließend erzeugt sie (wohl aus der .tmp) einen temporären Ordner in dem sich die echte Nero 9.4.12.13b-Setup-Datei und eine live-update.exe befindet - letztere ergibt bei Virustotal die o.g. Treffer (hab leider den Hash nicht mehr, habe das alles aus der VM heraus getestet und die ist wie gesagt weg). Danach wird das echte Nero-Setup gestartet. Dieses entpackt nun weitere temporäre Dateien, am Ende des Entpackvorganges, nach Start der setupX.exe von Nero, wird dann von der falschen Nero 9.4.12.13b-Setup-Datei die live-update.exe gestartet.

Diese will nun auf die msdss.dll im Speicher zugreifen. Anschließend will eine spoolsrv.exe (bin mir nicht 100%ig sicher, aber die Schreibweise müsste stimmen) eine .sys-Datei mit Zufallsnamen in Windows\System32\Driver ablegen. Am Ende löscht es dann diese .sys-Datei und danach auch die live-update.exe (und das ist bei mir auf meinem Hauptsystem nicht mehr passiert, irgendwo bei der Installation hat mein - etwas zugemülltes - System dann mit dem BSOD reagiert). Diese Löschungen erfolgen übrigens auch, wenn ich die live-update.exe selbst ausführe. Allerdings bleiben dann zwei .tmp-Dateien im Temp-Ordner des Benutzers übrig, von denen eine als Trojaner erkannt wird. Diese sind allerdings in der Registy zur Löschung bei Neustart vorgemerkt (PendingFileRenameOperations mit leerem Ziel).

Ich habe nun einen Scan mit Gmer und Blacklight, einen Systemscan mit Antivir und einen Memoryscan mit ThreatExpert Memory Scanner ausgeführt sowie mir den Netzwerkverkehr mit OnlineArmor angeschaut (leider bei OA ohne das Logging der Firewall zu aktivieren, habe ich in der Test-VM vergessen). Mit AntiMalware wollte ich auch noch scannen, das gab aber einen Fehler beim Start.

Alles war negativ, es ist wurde nichts gefunden. Ich habe dann das Windows in der VM neu gestartet und die Scans wiederholt. Gmer hat daraufhin einen versteckten Prozess in Windows\System32\ gefunden (analog zu dem im 4. Post von oben auf dieser Seite - achja, mich würde interessieren, was der Fund genau bedeutet... dass es eine versteckte Datei ist, ist klar, nur was bedeutet der Bezug auf andere Prozesse?). Bei OnlineArmor hatte ich eine kurze Connection zu einer ungewöhnlichen Adresse, hat nach etwas in der Art von DynDNS, die URL begann mit einer Zahlen- und Buchstabenkombination, anschließend kam ein Hostname in Deutschland - wie oben erwähnt, Logging hatte ich vergessen anzuschalten, daher geht's nicht genauer). Blacklight und TEMS haben haben rein gar nichts gefunden. Im Browser hatte ich beim ersten Zugriff eine Weiterleitung auf eine andere URL als die eingegbene. Den AntiVir Scan habe ich daraufhin abgebrochen (sorry, war 5 Uhr morgens, da hatte ich keine Lust mehr), die VM beendet und die VM-Datei gelöscht - sicherheitshalber, meine Freundin benutzt das Macbook auch und ein VM-Name wie "Virentest" hält da nicht zwangsläufig vom Start ab.

### Ende Test in der VM ###

Mein Hauptsystem habe ich danach nochmals mit Gmer untersucht, zwar ein ellenlanges Log (wie gesagt, System ist zugemüllt, konnte das Meiste selbst als harmlos erkennen) bekommen, aber keine Warnung. Über die letzten Tage liefen immer entweder AntiVir oder die Testversion von Avast Pro. Online Armor war meist installiert, jedoch in der Regel ohne Firewall Logging und wenn, dann hat es nur die geblockten gelogged. Die Netzwerkverbindung hatte ich wie oben erwähnt zunächst mal gekappt, nach den ersten negativen Virenscans war sie zeitweise wieder aktiv.

Logs von HijackThis und Gmer sowie ein Bootlog folgen in den nächsten Postings. Ich habe jetzt noch mit diversen Rootkit-Scannern (Sophos. Rootkit Unhooker, RootKitBuster, Blacklight) gescanned, die melden alle nichts. AntiMalware lasse ich gerade laufen. Danach darf sich noch die Avira Rescue CD austoben. OnlineArmor kommt anschließend wieder drauf, logged dann den kompletten Netzwerkverkehr - nach meiner Erfahrung mit der VM scheint das die Connections erkennen - aber leider nicht verhindern - zu können.

Gefahrenpotential: Auf dem Rechner sind natürlich im Firefox einige Passwörter gespeichert (da hätte ich wohl lieber meinen Passworttresor mit AES-256 nach dem letzten Plattmachen wieder installieren sollen). Die habe ich erst teilweise geändert (vom MacBook aus, das sollte als sicher gelten), habe aber ein Auge auf die entsprechenden Accounts (zumindest auf die kritischen wie Ebay, Amazon oder Paypal). Online-Banking wird von dem Rechner auch gemacht, jedoch nicht über Browser, sondern früher mit StarMoney (ist noch drauf) und jetzt mit WISO Mein Geld 2009. Allerdings bin ich seit der möglichen Infektion nicht mehr in die entsprechenden Konten gegangen (hatte nur Mein Geld ein Mal geöffnet, um mir die Seriennummer für eine etwaige Neuinstallation aufzuschreiben, habe mich aber nicht eingelogged) und die Datentresore der beiden Programme benutzen ja starke Verschlüsselungen, so dass da nichts passieren kann.

Die infizierte Installationsdatei ist natürlich vom Fileserver runter... und alle in der WG sind selbstverständlich völlig ahnungslos, wie die da drauf kam. Mal schauen wer die nächsten Tage hektisch den Rechner neuinstalliert ;).

Was wären jetzt Eure Ratschläge? Klar, Plattmachen hilft, hatte ich eigentlich sowieso wieder vor, nur würde mich auch noch interessieren, ob es nun eine Infektion gab oder nicht - gerade um zu wissen, ob ich meine ganzen Online-Accounts in nächster Zeit genauer beobachten muss. Wie hoch ist eigentlich die Wahrscheinlichkeit von Manipulationen am MBR? Das müssten doch zumindest die Scanner auf CD problemlos feststellen können, oder? Und Gmer prüft den ja auch. Und ist es wahrscheinlich, dass sich irgendwas in anderen Partitionen festgesetzt hat und nach der Neuinstallation bzw. von Scannern auf CD nicht gefunden wird? Geht mir einfach drum, welchen Aufwand ich bei der Datensicherung betreiben muss. Auf der Systempartition selbst wären im Wesentlichen Bilder, die Email Accounts und noch ein paar Dokumente (wobei die wirklich wichtigen auf anderen Partitionen lagern und mit TrueImage regelmäßig auf externe Festplatte gesichert werden). Die würde ich mit TrueImage (über BootCD) sichern und nach der Neuinstallation zurückspielen.

Danke schon mal und Gruss, Jogy

Hier das Gmer-Log. Die aufgeführten Daemon Tools sind übrigens schon länger deinstalliert... kann ich die Registry-Einträge einfach mit Gmer löschen? Ist leider zu lang für ein Posting.

Und hier Teil 2 des Gmer-Logs.

Nun das HiijackThis Log:

Und zuletzt noch das Bootlog:

So, AntiMalware ist auch durch, bis auf zwei Files im divX Programmordner der Sicherung einer alten Installation (seit ca. 2 Jahren nicht mehr aktiv, ist auf laufwerk D). Handelt sich jeweils um die pS2Xx.ddc, wird als Backdoor.Bot gemeldet. Dürfte aber ein false positive sein, die wurde früher nie gemeldet und wenn ich so bei Google schaue, dann sind alle Meldungen aus den letzten Tagen und ausschließlich von AntiMalware.

Ich lade die heute abend mal bei Virustotal hoch, ging heute morgen wegen Serverüberlastung nicht. Ein Gegencheck mit Avast war zumindest mal negativ und in Nutzung sind die Files ja auch nicht mehr (kann ich eigentlich sowieso löschen). Und bei meinen ganzen Scans in den letzten Tagen war die ja auch immer drauf, ohne erkannt zu werden.

Gruss, Jogy

Habe grade noch mit RootRepeal gescanned und sieht auch sauber aus. Datei ist angehängt, kann den Inhalt hier nicht reinkopieren... löscht immer alles bis auf das erste Zeichen, wenn ich auf Vorschau gehe - vielleicht irgendein Zeichensatzproblem mit dem Mac.

Gruss, Jogy

Sorry, ich möchte wirklich nicht nerven, aber es ist etwas deprimierend wenn quasi jeder noch so hingeschluderte Hilfeaufruf recht schnell eine Reaktion hervorruft, bei mir aber 3 Tage lang nichts kommt, obwohl ich mir die Mühe gemacht habe, den Einstieg für einen Helfer so einfach wie möglich zu machen und schon mal die ganzen Logs zu präsentieren.

Mir ist klar, Ihr macht das alles freiwillig (mache ich bei anderen Themen auch) und ich will deswegen niemanden drängen. Nur wenn es irgendeinen Grund gibt, warum ihr nicht helfen könnt oder wollt, dann sagt den mir bitte und ich versuche mein Glück woanders.

Ich erwarte hier auch keine 100%ige Sicherheit, die gibt es nie. Mir wäre nur die Einschätzung eines Experten wichtig, da ich das ganze Thema Malware sträflich vernachlässigt habe und diesen Rückstand nicht in ein paar Tagen aufholen kann.

Danke und Gruss, Jogy