Aus dem Leben eines angehenden Informatikers

Letzt nach dem Tanzkurs hatten Navigor und ich die Idee, dass ich doch meinen Laptop holen könnte und wir bei ihm ne 2-Mann-Lan machen könnten (sind ja nur 15-20 min Fußweg von ihm zu mir bzw andersrum).

Bei ihm ging natürlich erstmal die Überlegung los, was wir zocken sollten. Ich war ausnahmsweise im Windoof drin, er logischerweise auch (er hat momentan nichts anderes). Er erzählt mir, dass er ne neue Version eines Spiels hat, ich will die ziehen, meldet mir mein Virenscanner doch glatt nen Infekt (W32.traxg@mm oder so), n kagg Wurm. Symantec hat den bei mir natürlich gleich unschädlich gemacht, bevor was passieren konnte, doch bei Navigor war leider der ganze Rechner infiziert, weil er auch nicht wusste wie lange und woher er den Wurm hatte.

Der Wurm hat nach unserer Erfahrung (und der Hompage von Symantec) folgende Effekte:

1. Erstellen einer .com im Fonts-Ordner (der bekanntlich keine .com anzeigt wenn man über Explorer reingeht)
2. Erstellen von Dateien namens “folder” und verschiedenen .exe in den Ordnern auf dem infizierten Rechner (Symbol ist ein Standard-Ordner, Attribut versteckt)
3. Erstellen eines Registry-Eintrages, um die com-Datei bei Systemstart zu öffnen
4. Ändern der Einstellungen für Dateierweiterungen und Dateianzeige (Unsichtbare Dateien wie die .exen werden ausgeblendet, wenn man sie doch sieht sehen sie aus wie Ordner)
5. (Interessanterweise nirgens erwähnt) Verhindert das Erstellen von exe-Dateien, die dem Wurm gefährlich werden können (Spybot S&D, FreeAV… können nicht gestartet werden, md5deep.exe ging ohne Problem)

Erstmal versucht, im abgesicherten Modus an die Dateien ranzukommen, ohne dass etwas gestartet wird, doch fehlanzeige: Beim Booten dieses Modus kommt ein Bluescreen of death… Im Pytalchat konnten die Leute auch kaum helfen, wobei Ideen wie “Installier Linux” natürlich da waren

Meine Idee, alle Dateien der Partition rekursiv auf ihre md5-Chksum zu prüfen und die Virendateien zu löschen (ihre Chksums sind natürlich gleich) klappte auch nicht, da ich keine Sprache kann, mit der das so einfach geht… aber wo wir schon in Knoppix waren, um das zu versuchen, haben wir einfach mal die .com im fonts-Ordner gelöscht, und siehe da, die .exe und folder wurden nicht mehr automatisch erstellt.

Also hat sich Navigor hingesetzt und von Hand knapp 400 .exe-Dateien gelöscht und mit der Explorer-Suchfunktion auch alle folder-Dateien… Respek, Navi, ich hätt vorher formatiert… aber du hast jetzt doch sicher deine Lektion gelernt und installierst Linux, oder? ^^

Ach ja, der Wurm breitet sich aus über Outlook oder Netzwerkfreigaben, da hatte wohl jmd auf der letzten Lan den Wurm ohne es zu wissen und der konnte sich fleißig ausbreiten… ich bin direkt froh nicht dort gewesen zu sein…

Dieser Beitrag wurde am 23. September 2007 um 12:13 von Kabarakh in der Kategorie PC-Hilfe, Windoof abgelegt. Die Antworten zu diesem Eintrag können mit dem Kommentar-Feed (RSS 2.0) verfolgt werden. Du kannst den Eintrag kommentieren oder einen Trackback senden.