Christoph Schnauß: jetzt hab ich ihn (experimentell) auch ...

Beitrag lesen

hi,

Scheint sich um einen schädlichen E-Mail-Anhang zu handeln.

So, jetzt hab ich ihn auch ...

Hintergrund: es gab auf dem befallenen Rechner eine einzige *.exe, die größer als 30 KB geblieben war und ein anderes Datum trug. Das war/ist eine Datei "testcgi.exe". Der Provider, bei dem mein Bekannter Webspace gemietet hat, ist einer der ganz wenigen, der nicht den Apache, sondern IIS einsetzt. Und der hat genau diese "testcgi.exe" verwendet, um einfach bloß die CGI-Umgebungsvariablen darstellen zu lassen.
Auf dem befallenen Rechner gab es ebenfalls IIS zum Testen von Scripts, und diese "testcgi.exe" hatte sich mein Bekannter vor wenigen Tagen geholt, um sich eben die CGI-Umgebungsvariablen anzeigen zu lassen. Und ich hatte mir nun vorgestern diese "testcgi.exe" auf eine Diskette kopiert, um sie mir mal anzuschauen. Bei ihm habe ich sie einschließlich des gesamten Systems eliminiert.

Dumme Idee. Ich habe sie auf einem meiner Rechner vor einer halben Stunde im cgi-bin des lokalen Apache eingelagert und danach aufgerufen. Da ich vorsichtig bin, war der Rechner vorher aus dem lokalen Netz ausgekoppelt worden und hatte keinerlei Internetanbindung. Siehe da: plötzlich hatte ich genau diese "dl.exe" auch, und genau dasselbe Problem, daß alle *.exe "geschrumpft" wurden, hatte ich ebenfalls.

Na gut, mir hat es nix geschadet, ich kann dann halt auch meinen Rechner nochmal neu aufbauen, aber das war/ist eh nur einer, der mir als "Spielweise" dient und auf dem es keinerlei "Daten" gibt, die verlorengehen könnten. Aber ich kann damit ausschließen, daß es sich um Malware handelt, die über email verbreitet wird.

Allerdings hast du da eine durchaus interessante Diskussion zum Thema gefunden. Ich bin mir bloß immer noch nicht sicher, welcher Virus/Wurm da zugeschlagen hat - und vor allem: ich sollte ja wohl den Provider warnen. Auch wenn er das Problem vermutlich mitgekriegt haben müßte. Nur: handelt es sich dabei um irgendeine "neue" Schadsoftware oder ist da irgendwas Uraltes konserviert worden? Die Informationsseiten der "großen" Antivirus-Softwarehersteller lassen mich bei der Stichwortsuche nach "dl.exe" komplett im Stich.

Grüße aus Berlin

Christoph S.

--
Visitenkarte
ss:| zu:) ls:& fo:) va:) sh:| rl:|