Hallo Com..
Möchte hier an dieser Stelle mal einen Warnhinweis, bzw. Info bzgl. eines Wurmes/Trojaners Namens "dogbart" weitergeben. Andere Namen sind auch möglich, da sich bei jeder Weitergabe dieser namentlich ändert. Lediglich die "Symptome bleiben gleich.
Um was es sich dabei genau handelt (Wurm/Trojaner/Virus/etc.), bzw. über dessen Alter und Verbreitungsgeschwindigkeit, kann ich leider nicht sagen.
Was ich jedoch mit ziemlicher Sicherheit vermute ist, dass es sich über verschiedene Win-Loader (kein daz-loader) und Office-Activatoren verbreitet. Bei dem Versuch, aufgrund Neutinstallation, ein WIN7-Ultimate mit SP1 und Office 2010 mit nachträglichem Loader zu installieren/aktivieren, kamen im anschliessenden Betrieb ständig Warnhinweise wie folgt:
- Internetexplorer funktioniert nicht mehr, obwohl bereits FF installiert war
- hunderte von Einblendungen über eine "winmine.exe", die sich als Notepad-Programm tarnt (nicht mit dem Spiel "minesweeper" zu verwechseln.
- installierte Virenscanner (avira, avs, kaspersky) verweigern den autorun auf externe Speichermedien (USB-Stick, HDD)
- diverse blue-screens beim Bootvorgang, der Neustart wird dadurch zum Glücksspiel
Meinen Laptop konnte ich nach Tagen wieder retten (Acronis verweigerte teilweise seinen Dienst), am PC muss ich noch umständlich Daten sichern.
Wie verbreitet sich dieses Übel?
Einmal auf der C-Partition, gelangt der Schädling sofort auf angeschlossene externe Speichermedien. Eine interne zweite HDD wird davon nicht befallen, nur wie erwähnt die C-Partition. Die Weitergabe erfolgt nun auf jeden PC, der mit dem befallenen externen Speichermedium verbunden wird. SD-Cards werden seltsamerweise nicht angegriffen.
Öffnet man die externe Platte nun manuell, erscheinen die Daten in den übergeordneten Ordnern lediglich als Verknüpfung. Die Unterordner werden beim Öffnen normal angezeigt. Die Daten sind auch vorhanden.
Zusätzlich befinden sich auf der Platte der Ordner "Recycle" und eine autorun als inf-datei. Man kann zwar beide vordergründig löschen, erscheinen jedoch wieder beim erneuten Anschluss.
Wie kann ich meine Daten rette und den PC/Laptop säubern?
Wie erwähnt, werden zusätzliche interne Platten nicht angegriffen. Beim Laptop mit nur einer physikalischen Platte kann man nur auf Backup-Programme mit Boot-Disc hoffen...
Beim PC eine zweite Platte intern einbauen und die zu rettenden Daten rüberschaffen. Die befallenen externen Platten auf dem infizierten Rechner erneut anstecken und mehrmals formatieren (nicht die schnelle Formatierung wählen). Nach erfolgter Formatierung (was bei einer 2TB-Platte schon mal ungefähr 12 Stunden dauern kann) einfach die Platte vom Strom nehmen (vorher nichts bestätigen) und dann anschliessend auf einem sauberen Rechner erneut langsam formatieren.
Die zuvor eingebaute zweite Platte entfernen und via externem Gehäuse an einen sauberen Rechner anschliessen und Daten transferieren.
Den PC/Laptop selbst mit der Hauptplatte (C-Partition) komplett platt machen und das Betriebssystem erneut aufspielen.
Das sollte es gewesen sein.
Hoffe das war einigermassen verständlich. Leider kann ich nicht mehr genau sagen, um welchen Loader/Activator es sich genau handelt, da ich mehrere ausprobierte...
Wer hat und kann, sollte sich Loader/Activatoren zuerst in einer VM, bzw. Sandbox ansehen.
Jetzt bin ich auch schlauer...
Wurm Trojaner eingefangen dogbart
Linear-Darstellung
