Virenalarm
Jul 16th, 2008 by Björn
Nun bin ich seit mehr als 15 Jahren online und dann kommt mir dies unter! Ich schnappe mir doch gestern einen Trojaner auf einer Webseite…
Und ehrlich gesagt, ich kann mich nicht einmal beschweren, typischer Fall von selber Schuld! Normal arbeite ich unter Linux, aufgrund meiner Arbeit bin ich aber gezwungen, bestimmte kundenrelevante Software unter Windows zu ergänzen und damit auch zu arbeiten. Jeder Versuch, über ein viruelles System diese Sache zu umgehen, schlugen bisher fehl.
Nun musste ich einen Check einer Kundenwebseite machen und rums, mein Virenscanner schlug an. Sofort war ich mit dem Rechner vom lokalen Netz getrennt und begann mit der Diagnose.
Heraus kam ein TR/PSW.Sinowal, versteckt im Masterboot-Record der HDD. Diese uralt Variante von Trojanern gibt es nicht mehr, nahm ich an. Falsch gedacht.
Nun ist die Beseitigung die eine Sache, das infizierte System die andere. Dieser Trojaner sendet nämlich die Passwörter verschiedener FTP-Clients, die im System gespeicherten Passwörter sowie die Daten von Mailclients wie zum Beispiel TheBat! an den Angreifer. Und zusätzlich öffnet er ein Backdoor, über welches sich der Angreifer auf dem Rechner gemütlich machen kann.
Den MBR kann man relativ einfach prüfen. Dazu lädt man sich das Programm mbr.exe herunter und führt es aus. Dabei öffnet sich das DOS-Fenster und zeigt an, ob ein Befall vorliegt oder nicht. Ist der MBR befallen, dann folgt man den Anweisungen des Programms.
Dannach wird das komplette System mit einem aktuellen Virenscanner geprüft.
Wichtig ist, falls man Passwörter speichert, diese sofort zu ändern. Insbesondere Mail-, FTP- und andere wichtige Accounts wie zum Beispiel PayPal.
Absolut sicher ist es, das System komplett neu aufzusetzen!
Für mich war es wieder einmal eine Lehre, online geht es nur noch via Linux, mal abgesehen vom Zocken, da bin ich ja auf Windows (leider) angewiesen.