Low-Level-Format-resistenter Trojaner ?

Kato

Hallo,

Folgendes Problem:

Ich vermute seit längerer Zeit schädlichen Code auf mehreren meiner Internet-Rechner, einer davon ohne Internetzugang. Die Internet-Computer arbeiten jeweils als Einzelplatz-Rechner an einer
ISDN-Anlage bzw.auch an einem analogen Standard-Telekom-Anschluß,Einwahl über Modem bzw.ISDN-Karte call by call. Einer der Rechner, nach meiner Einschätzung ebenfalls mit dem Problem behaftet, besitzt keinen Internetzugang.

Die Computer laufen mit Windows 98 SE, Windows ME,
Windows XP Pro mit AMD Duron 1200 bzw.PII, PIII-
Prozessoren, RAM 192 bis 256 MB, je eine HDD mit 20 bis 80 GB, je 1 FDD, CD-Rom /DVD- bzw. CD-R/W-
Laufwerk.

Die ausführliche Problembeschreibung würde den Rahmen dieser Email sicherlich sprengen, deshalb hier ein Auszug aus den wesentlichen Problembestandteilen:

Ich hatte vor kurzem 2 Festplatten aus zweien der
Rechner ausgebaut und zwecks Kontrolle bzw. 'Säuberung' an 'Ontrack'in Böblingen gesandt.

Zuvor durchgeführte Standard-Festplatten- und Low-Level-Formatierungen beseitigten das mir problematisch erscheinende Verhalten der Rechner nicht.

Mit 'Problem' meine ich u.a.,daß Daten auf den Festplatten, trotz zwischenzeitlich durchgeführter diverser Formatierungen, auch durch einen Fachmann, nicht beseitigt werden konnten.

Ein Beispiel: Ein von mir eingesetztes Dateiverschlüsselungsprogramm beinhaltet einen Email-Client, in den die persönlichen Daten, wie Name, Passwort für das Internet-Postfach usw. eingegeben werden können. Die dort von mir eingegebenen Daten erschienen bei einer Neuinstallation trotz zwischenzeitlich durchgeführter diverser (Low-Level)-Formatierungen
wieder in diesem Email-Client ohne mein Zutun.

Die Fa.Ontrack teilte mir mit, daß man Dateien mit außergewöhnlich langen Dateinamen, wie 'aaaaaaaaaaaaaaaaaaaaa......' entdeckt habe, bei denen es sich um schädlichen Code handeln könne, bestätigen wollte man dies nicht.

Die Festplatten wurden 'gesäubert' an mich zurückgegeben. Nach dem Wiedereinbau und Neuinstallation von 'Win XP Pro' habe ich als erstes nach dieser Datei gesucht und diese auch auf einem Rechner gefunden, leider war zu diesem Zeitpunkt mein CD-Brenner nicht funktionstüchtig, sodaß ich keine Kopie erstellen konnte (angezeigte Dateigröße knapp 2 GIGAByte, GIGA kein Schreibfehler). Bei einem späteren Neustart
war die Datei nicht mehr auffindbar.

Bemerken möchte ich in diesem Zusammenhang, daß es sich bei den installierten Programmen um Originalsoftware handelt und ich auch sonst keinerlei zweifelhafte Wechselmedien sowie Verbindungen zu anderen Computern oder dem Internet hatte. Die betreffenden Rechner haben seit langen Monaten keinen Zugang zum Internet gehabt.

Meine Frage: Ist ein Trojaner bekannt, der einer
Low-Level-Formatierung widerstehen kann und sich immer wieder auf die Festplatte zurückschreiben kann ?

Vor der Einsendung der Festplatten an Ontrack hatte ich in der Windows-Registrierung im 'Run'-Service von HKLM längeren Programmcode entdeckt, der sich hinter zwei Punkten '..'am rechten Rand des Bildschirms verbarg, möglicherweise 'SubSeven'(ausschließliche Kontaktversuche, die von der Firewall gemeldet wurden). Den Trojaner habe ich gelöscht, was aber nicht der Kern des Problems war, der lautet

Wie ist es möglich, daß sich die oben beschriebene und von 'Ontrack' auf der Festplatte gelöschte Datei sich auf die Festplatte zurückschreibt, oder anders gesagt, warum läßt sich die Festplatte nicht 'säubern', oder kann sich Code noch an anderer Stelle verstecken ?

Mein Verdacht geht mittlerweile dahin, daß sich Programmcode in einem nichtflüchtigen Speicher oder in einem Bauteil des Computers verbirgt und sich im Rahmen von Neuinstallationen von Computerprogrammen sich im Hintergrund auf den Rechner schreibt. Leider fehlt mir der Sachverstand, dieses einschätzen zu können, wenn jemand das kommentieren könnte, würde ich mich freuen.

Bei einer Kontrolle des CD/DVD Laufwerkes mit dem
Programm 'CD-Bremse' habe ich vor wenigen Tagen
die oben beschriebenen 'aaaaaaa...'-Zeichen möglicherweise dort wiederentdeckt und zwar 107 Zeichen lang in der Form 'AA AA AA AA...'. Aber vielleicht gibt es ja einen guten Grund für das Vorhandensein einer solchen Zeichenkette dort ?

Abschließend möchte ich noch bemerken, daß regelmäßige Antivirenscans mit aktualisierten Virensignaturen von verschiedenen Herstellern keinerlei Ergebnisse bringen.

Beim Scan der Festplatten mit einem Linux-Kernel auf Boot-CD werden exotische Partitionen angezeigt wie z.B.'Ontrack DM 6 Aux3, PC/IX , PPC PRep Boot, Netware 386 usw., usw', die größte hat eine Kapazität von ca.800 GIGAByte. Diese finden sich in der einen oder anderen Form auf allen Rechnern, sodaß ein Hardware-Defekt wohl eher unwahrscheinlich ist. Beim Beenden des Programms
wird jedesmal gemeldet 'md: recovery threat got woken up', kann dies vielleicht in irgeneiner Form
mit dem von mir beobachteten 'Rückschreiben' des
vermuteten schädlichen Codes zusammenhängen ?
Das Programm 'PartED' meldet 'Can't have a partition outside the disk !'.

Insbesondere bei Installation von Windows 98 SE auf den Betriebssystem-Emulator 'VMware Workstation'lassen sich beim Booten merkwürdige, scharfumrissene, farbige Strukturen erkennen.

Vielen Dank im voraus für jeden sachlichen Kommentar.

Gruß

Alex