Trojaner erfordert Neuinstallation?

Kürzlich war in mehreren Medien (z.B. winfuture.de, derStandard,…) gar Schreckliches zu lesen, eine Infektion mit einem Trojaner erfordert eine komplette Neuinstallation des PCs:

image_817

Quelle: derStandard Microsoft warnt: Trojaner Popureb erfordert Neuinstallation

Nun, das klingt aber dramatisch. Ist das auch wirklich so? Und Überraschung… nein, natürlich nicht. Ich hab mich etwas eingelesen und wenngleich ich zugeben muss, dass die erste Version des Microsoft Blog-Artikels (für technisch vollkommen unbedarfte Leser) eventuell missverständlich war, aber von “Neuinstallation” konnte und kann ich beim besten Willen nichts entdecken.

Entfernung der Malware
Der Trojaner nistet sich im Bootsektor ein. Was jetzt an und für sich auch nichts sonderlich besonderes ist. Die Besonderheit ist eine andere, nämlich dass die Schadsoftware sich in den Festplatten-Treiber (z.B. atapi.sys) hängt und Schreibzugriffe auf den Bootsektor (MBR) verhindert. Das ist clever, denn somit kann der Trojaner tatsächlich nicht mehr entfernt werden – jedenfalls nicht vom gebooteten System. Mehrfach ist nun dieser Satz im Netz zu lesen:

“Anders ließe sich die Malware kaum sicher entfernen, da sie sich sehr tief im Boot-Sektor des Rechners versteckt” .. oder “Da sich der Schädling tief im Boot-Sektor einnistet ”

Wow. Technisch durchaus beachtlich, wie tief der da drin ist. Richtiggehend super-tief.

Die Lösung: man bootet eben nicht von der Platte, sondern von DVD, USB-Stick,… geht in die “Computerreparaturoptionen” in die Commandline und schreibt den Bootrecord mit bootrec.exe /fixmbr neu.

Nun ist mal der MBR sauber, aber der Rest des Trojaner ist noch auf dem PC. Hier erschließen sich mir zwei Möglichkeiten, entweder per System Restore auf einen früheren Zeitpunkt zurücksetzen  oder den Rechner offline nach Schadsoftware scannen, z.B. mit dem gratis bootfähigen Microsoft System Sweeper.

Bedrohungspotential
Der Trojaner nimmt über Port 83 Kontakt mit (zumindest in dieser Version) zwei Domains auf, diese dürften hardcodiert sein. Damit steht der infizierte Rechner nicht mehr unter Kontrolle des Benutzers, der Bösewicht kann letztlich alles mit dem Rechner tun (und als vermutlich erste Aktion: weitere Schadsoftware nachladen).

Erkennung der Infektion
Die Microsoft Anti-Malware Produkte wie Forefront Endpoint Protection, Windows Intune oder die gratis Microsoft Security Essentials erkennen die Infektion. Daneben sind Indikatoren die auftreten können das Vorhandensein einer hello_tt.sys oder einer Datei namens pulgfile.log in c:\documents and settings\all users\documents\my videos\.

Also keine Neuinstallation
Nein, jedenfalls unterscheidet sich dieser Trojaner nicht von sonderlich von irgendwas, was nicht schon da gewesen wäre. Eventuell mit dem Unterschied, dass die Malware eben nicht vom gebooteten System aus entfernt werden kann.

Oder doch neu installieren?
So mit wäre mal die Überschrift entkräftet, diese Malware unterscheidet sich einfach nicht von anderer Malware. ABER: wenn ein System infiziert war – traut man dem System dann noch? Ist jetzt eine Grundsatzfrage, völlig unabhängig vom aktuellen Fall. Denn ich bin mir nicht sicher, ob ICH nicht dennoch neu installieren würde. Kann ich nur nicht sagen, ich hatte einfach in den letzten Jahren keine Malware.

Fazit: Gähn. Hab mich schon mehr gefürchtet.

Mehr Information:

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s