Ein Blog rund um Microsoft Windows und allem, was sonst noch so anfällt...

Trojaner erfordert Neuinstallation?

von Georg Binder 30. June 2011 08:00

Kürzlich war in mehreren Medien (z.B. winfuture.de, derStandard,…) gar Schreckliches zu lesen, eine Infektion mit einem Trojaner erfordert eine komplette Neuinstallation des PCs:

image

Quelle: derStandard Microsoft warnt: Trojaner Popureb erfordert Neuinstallation

Nun, das klingt aber dramatisch. Ist das auch wirklich so? Und Überraschung… nein, natürlich nicht. Ich hab mich etwas eingelesen und wenngleich ich zugeben muss, dass die erste Version des Microsoft Blog-Artikels (für technisch vollkommen unbedarfte Leser) eventuell missverständlich war, aber von “Neuinstallation” konnte und kann ich beim besten Willen nichts entdecken.

Entfernung der Malware
Der Trojaner nistet sich im Bootsektor ein. Was jetzt an und für sich auch nichts sonderlich besonderes ist. Die Besonderheit ist eine andere, nämlich dass die Schadsoftware sich in den Festplatten-Treiber (z.B. atapi.sys) hängt und Schreibzugriffe auf den Bootsektor (MBR) verhindert. Das ist clever, denn somit kann der Trojaner tatsächlich nicht mehr entfernt werden – jedenfalls nicht vom gebooteten System. Mehrfach ist nun dieser Satz im Netz zu lesen:

“Anders ließe sich die Malware kaum sicher entfernen, da sie sich sehr tief im Boot-Sektor des Rechners versteckt” .. oder “Da sich der Schädling tief im Boot-Sektor einnistet ”

Wow. Technisch durchaus beachtlich, wie tief der da drin ist. Richtiggehend super-tief.

Die Lösung: man bootet eben nicht von der Platte, sondern von DVD, USB-Stick,… geht in die “Computerreparaturoptionen” in die Commandline und schreibt den Bootrecord mit bootrec.exe /fixmbr neu.

Nun ist mal der MBR sauber, aber der Rest des Trojaner ist noch auf dem PC. Hier erschließen sich mir zwei Möglichkeiten, entweder per System Restore auf einen früheren Zeitpunkt zurücksetzen  oder den Rechner offline nach Schadsoftware scannen, z.B. mit dem gratis bootfähigen Microsoft System Sweeper.

Bedrohungspotential
Der Trojaner nimmt über Port 83 Kontakt mit (zumindest in dieser Version) zwei Domains auf, diese dürften hardcodiert sein. Damit steht der infizierte Rechner nicht mehr unter Kontrolle des Benutzers, der Bösewicht kann letztlich alles mit dem Rechner tun (und als vermutlich erste Aktion: weitere Schadsoftware nachladen).

Erkennung der Infektion
Die Microsoft Anti-Malware Produkte wie Forefront Endpoint Protection, Windows Intune oder die gratis Microsoft Security Essentials erkennen die Infektion. Daneben sind Indikatoren die auftreten können das Vorhandensein einer hello_tt.sys oder einer Datei namens pulgfile.log in c:\documents and settings\all users\documents\my videos\.

Also keine Neuinstallation
Nein, jedenfalls unterscheidet sich dieser Trojaner nicht von sonderlich von irgendwas, was nicht schon da gewesen wäre. Eventuell mit dem Unterschied, dass die Malware eben nicht vom gebooteten System aus entfernt werden kann.

Oder doch neu installieren?
So mit wäre mal die Überschrift entkräftet, diese Malware unterscheidet sich einfach nicht von anderer Malware. ABER: wenn ein System infiziert war – traut man dem System dann noch? Ist jetzt eine Grundsatzfrage, völlig unabhängig vom aktuellen Fall. Denn ich bin mir nicht sicher, ob ICH nicht dennoch neu installieren würde. Kann ich nur nicht sagen, ich hatte einfach in den letzten Jahren keine Malware.

Fazit: Gähn. Hab mich schon mehr gefürchtet.

Mehr Information:

 

Comments (8) -

>

6/30/2011 8:23:04 AM#

I hoffe irgendwer aus der Standard-Techredaktion hat den Windowsblog per RSS-Feed aboniert.
Naja - würde am Bashing wohl trotzdem nichts ändern...

LukiÖsterreich | Reply

>

6/30/2011 8:49:57 PM#

Naja es wird ja oft wegen eines Wurms oder Virus oder Trojaner ein riesen Wind gemacht. Klar kann da viel passieren, aber meistens liegt es halt am User wenn man sowas auf der Kiste hatSmile

Das Problem sitzt meistens vor dem PC Smile

TimoDeutschland | Reply

>

7/1/2011 11:32:22 AM#

Ich hab mir vor einigen Monaten irgendeine Malware eingetreten, und ich muß sagen: Ich hab das System neu aufgesetzt, aber nachher kein Vertrauen mehr in unbekannte Links gehabt... Smile

ThomasÖsterreich | Reply

>

7/7/2011 3:45:50 PM#

Echt lustig der Artikel. Tja, es gibt halt Trojaner, die sich soooo tief eingraben, dass man sie nimmer rausbekommt - die könnte man ja Maulwurf-besonders-tief-einbuddel-Trojaner nennen Smile

MatzeDeutschland | Reply

>

7/7/2011 6:25:48 PM#

Es gibt doch mitlerweile so viele möglichkeiten sich ordentlich zu schützen und selbst dem ober DAU nicht die Möglichkeit zu geben irgendwelche Links zu öffnen oder Anhänge.

AlexDeutschland | Reply

>

7/15/2011 11:41:20 PM#

Was ich mich immer wieder frage:
Bisher war eigentlich immer die Devise, wenn ein Trojaner auf dem PC gelandet ist, ist es am sichersten, den PC neu aufzusetzen, da es sehr schwierig ist, den Trojaner wieder weg zu bekommen, da sich dieser sehr tief im System einnistet. Wie diesem Artikel zu entnehmen ist, nistet sich auch dieser Trojaner sehr tief im System ein.

Möglich ist es vielleicht, diesen Trojaner und auch andere weg zu bekommen, nur in wie weit kann dem "ehemals" infiziertem System dann noch getraut werden? Wie sicher ist es, dass der Trojaner wirklich weg ist? Fakt ist, diese "Löschen"-Funktionen der Anti-Viren-Programme funktionieren meist nicht zuverlässig.

Also komme ich zu dem Schluss, dass es wohl doch immer sicherer ist, ein infiziertes System neu zu installieren. Mit halbwegs aktueller Hardware, Windows 7 und brav gemachten Backup ist das auch gar kein Problem. Ich selbst habe meinen Privat-PC auf jeden Fall in etwa 2-3 Stunden neu installiert und wieder so vor mir, wie vorher.

tyraduxÖsterreich | Reply

>

7/18/2011 10:58:42 AM#

Wow, als ich mal ein Trojaner hatte, hat mein Virenscanner den einfach beseitigt.

JuliosKaribik | Reply

>

7/22/2011 12:38:03 AM#

Hmm, und was macht man wenn man die PLatte mit Truecrypt verschlüsselt hat?
Dann würde man sich mit dem obigen Kommando (fixmbr) das ganze System zerschiessen...

0815-MenschDeutschland | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies