Habe mir gestern trotz Erkennung durch AVG die BKA-Erpresser-Malware eingefangen. AVG zeigte die Infektion an, stoppte sie aber nicht.

Vollscans mit aktuellen Scannern v. AVG, Malwarebytes, OTL und Avira zeigten keinen(!) Befall an. Die Malware lief über eine saubere(!) svchost.exe. Beenden der Malware über den parallell angemeldeten Adminaccount machte den betroffenen Account wieder nutzbar. Der Aufruf der Malware verbarg sich in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load. Das dort aufgerufene File befand sich unter dem Namen "mshuoaph.com" im Temp-Ordner des Benutzerprofils.

Anbei die Analyse von Virustotal:

https://www.virustotal.com/file/fd8e16e45427b334b9aaee0b648acb23ad243ddb08ff162a4f5a2358494f052b/analysis/1332831948/

Bei Bedarf mail ich das Teil dem Team. Ich muss jetzt nach lang durchfummelter Nacht erstmal was für meinen Lebensunterhalt tun. Ob das System damit wieder völlig sauber ist, check ich nachmittags. So wie ich das sehe, hilft nur manuelles Prüfen und Entfernen. Die bekannten Tools versagen derzeit wohl alle.

Mit besten Grüßen, JB, der sich später noch mal meldet.

hi
file mal hochladen bitte:
Trojaner-Board Upload Channel
und ein aktuelles otl log posten.

Chronologisch: Exploit in aktuellem System (Popup beim Markieren einer Textzeile in einer amerikanischen Suchmaschine für Ebooks). Meldung durch AVG:

Code: Alles auswählenAufklappen

ATTFilter

"Infektion";"Objekt";"Ergebnis";"Erkennungszeit";"Objekttyp";"Vorgang"
"Trojaner: SHeur4.VLG";"u:\Users\Sophosaurus\AppData\Local\Temp\0.786941213450876h7i.exe";"Infiziert";"27.03.2012, 02:21:01";"Datei";"C:\Windows\System32\rundll32.exe"
"Trojaner: SHeur4.VLG";"u:\Users\Sophosaurus\AppData\Local\Temp\0.653671670591859h7i.exe";"Infiziert";"27.03.2012, 02:21:01";"Datei";"C:\Windows\System32\rundll32.exe"
         

AVG wurde aktiv, entfernte die Files, kurz darauf erschien der bekannte Screen. Eintrag in Systemregistrierung:

Code: Alles auswählenAufklappen

ATTFilter

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"Device"="HP Deskjet F300 Series,winspool,Ne02:"
"UserSelectedDefault"=dword:00000001
"Load"="U:\\Users\\SOPHOS~1\\LOCALS~1\\Temp\\mshuoaph.com"
         

Die Berechtigungen des Zweigs "Windows" wurden offenbar entfernt und durch den Eintrag "nur lesen" für die Benutzergruppe "ALLE" ersetzt. Der Originaleintrag ist "vererbt von nächsthöherem Objekt". Die Veränderung muss rückgängig gemacht werden, bevor der Eintrag gelöscht wird.

Das File im Temp-Ordner hat das hidden-Attibut gesetzt. Der Task läuft als "svchost.exe" unter der Benutzerkennung des betroffenen Accounts, und sollte nach Möglichkeit von einem anderen Adminaccount aus beendet werden, ohne das System herunterzufahren. Danach kann der Schädling manuell aus dem wieder zugänglichen Account entfernt werden.

Scans zeigen weder bei aktivem Schädling, noch bei inaktivem Schädling etwas an. Den Eintrag Windows/Load nicht zu überprüfen, und die eindeutige Manipulation der Berechtigungen des Registrierungszweigs nicht zu bemerken disqualifiziert die Scanner, allerdings auch die UAC.

Mein 64 Bit Windows 7 ist gepflegt, enthält alle Updates und durchlief letzte Nacht jeweils zwei Fullscans mit den frisch heruntergeladenen Scannern: AVG, Avira, Malwarebytese und OTL ohne daß auch nur einer dieser Scanner reagiert hätte. Weder das File, noch der Registrierungseintrag wurde angezeigt, geschweige denn bemängelt.

Logs sind gezippt im Anhang.

combofix hätte es aber warscheinlich angezeigt.
naja, und das scanner nicht alle schädlinge erkennen sollte keine all zu große überraschung sein.
ich danke dir auf jeden fall erst mal für den upload.
ok, du hältst windows aktuell, aber java und diverse anderen progamme könnten fehlende updates und damit sicherheitslücken aufweisen :-)
kannst du sicherheitshalber noch combofix laufen lassen:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Das kann eine Weile dauern. Combofix hat 41 Abschnitte durchlaufen, danach aus unerfindlichen Gründen das Konfigurationsfile einer harmlosen Freeware namens mp3cut in einen Quarantäneordner verschoben, den dazugehörigen Ordner aus dem Roaming löschen wollen, und sich für volle 60 Minuten nicht weiter gerührt. Ich habe das Programm dann beendet. Ein Logfile hat es nicht angelegt, einen Wiederherstellungspunkt ebenfalls nicht.

Sämtliche meiner autorun.inis befinden sich in Quarantänerordnern der jeweiligen Partition, die aus dem Roaming-Ordner verschobenen Dateien aber auf der Partition C, obwohl sie von der Partition U stammen. Ich bin etwas irritiert. Kann es sein, das Combofix nicht damit zurechtkommt, wenn die Benutzerordner auf einer eigenen Partition liegen?

Auf C befindet sich offenbar so etwas wie ein NTFS-Link auf den Systemordner "Computer", in dem meine Laufwerke angezeigt werden. Ich nehme an, das muss ich erst mal manuell in Ordnung bringen. Für die 41 Abschnitte hat CF schon ziemlich lange benötigt. Ich bin entschieden zu müde, das heute noch mal in Angriff zu nehmen, werde also morgen nachmittag wieder posten.

das abbrechen war vllt keine so gute idee. das verschieben in den original ordner hätten wir dann schon hinbekommen, sorry aber für die unannemlichkeiten!
übrigens, danke für den hinweis mit dem reg schlüssel, werde ihn noch zusätzlich in mein otl script zum scannen einfügen

Später geworden, habe mich erst mal ausschlafen müssen.

Das wichtigste vorweg: ComboFix hat den Schädling nicht als solchen erkannt!

Ich habe noch keine Liste, aber das interne Protokoll des letzten Laufs aus dem Ordner "Lastrun" vor dem ComboFix /uninstall gesichert:

Code: Alles auswählenAufklappen

ATTFilter

"C:\Windows\IsUn0407.exe"
"C:\Windows\iun6002.exe"
"C:\Windows\system32\drivers\etc\hosts.ics"
"C:\Windows\SysWow64\tmp4E1.tmp"
"C:\Windows\SysWow64\tmp510.tmp"
"C:\Windows\SysWow64\tmp81CE.tmp"
"C:\Windows\SysWow64\tmp81DF.tmp"
"C:\Windows\SysWow64\tmp8620.tmp"
"C:\Windows\SysWow64\tmp8D04.tmp"
"C:\Windows\SysWow64\tmp9F5B.tmp"
"C:\Windows\SysWow64\tmp9F6C.tmp"
"C:\Windows\SysWow64\wmploc.DLL.black"
"C:\Windows\SysWow64\wmploc.DLL.zero"
"C:\Windows\Tasks\At1.job"
"I:\autorun.inf"
"N:\autorun.inf"
"R:\Autorun.inf"
"S:\autorun.inf"
"T:\Autorun.inf"
"U:\Autorun.inf"
"U:\Users\Sophosaurus\AppData\Roaming\FFSJ\FFSJ.cfg"
"U:\Users\Sophosaurus\AppData\Roaming\Tykapo\iduq.lux"
"V:\autorun.inf"
"W:\autorun.inf"
"X:\autorun.inf"
         

Das sind Überrreste von Windows-Updates, selbsterstellte autorun.inis (für meine Partition-Icons, zwo Configs von Freeware, zwo alte uninstall-executables und ein Rest eines kontrollierten Testlaufs. Alles ohne Bezug zur Infektion.

System ist inzw. neu gestartet worden. Die Sicherheitseinstellungen des IE waren verbogen, Net. Framework 4 lief nicht mehr, und wurde per Reparaturinstallation instandgesetzt. Warum ComboFix nach dem Verschieben der Ordner rund eine Stunde ohne HD-Aktivität, ohne CPU-Aktivität (System läuft unter 5% passiv, Lüfter springt erst darüber an), und ohne Meldung lief, bis ich es per Closebutton beendete, entnahm ich der Ereignisanzeige. Demnach hat exakt zu Beginn der Untätigkeit der catchme-Treiber gemeldet, mein System sei nicht kompatibel. Ich vermute, das beenden des Tasks der virtuellen Laufwerke vor dem ComboFix-Lauf war nicht genug, und ich hätte sie ordentlich abschalten müssen. CF hat sich ordnungsgemäß entfernt, das System läuft unauffällig.

Wenn ich nachher ins Bett gehe, lasse ich ComboFix noch mal laufen, um ein ordentliches Protokoll zu bekommen, das ich dann morgen einstelle. Ich ziehe das Fazit, die eingeschickte Datei hat nicht viel mehr Funktionalität als den albernen Droh-Bildschirm anzuzeigen und Benutzereingriffe abzuwehren, sonst hätten die Scanner das File nicht als harmlos angesehen. Die Funktionen zur Injektion dieser Malware lagen wohl in den beiden Files, die den Alarm auslösten, weswegen sie ja auch von AVG erkannt wurden. Die beiden Files send ich gleich nach dem Absenden dieses Beitrags zu.

also die kontroll server der datei gehören zum sogenannten andromedar bootnetz.
dieses ist in der lage weitere plugins zu laden.
hier scheint aber nicht mehr viel interessantes zu passieren.
scanner hätten das schon erkennen können, avg ist aber zb nicht grad für eine vernünftige verhaltensanalyse bekannt.
emsisoft oder norton zb hkommen mit dieser malware ganz gut zurecht, obwohl das bei emsisoft noch eher zutrifft als bei norton, die lassen das ein oder andere sample auch mal durch rutschen.