nicht angemeldet
Was war das für ein Virus?
hallo Forum,
ich mußte vorgestern einem Bekannten seinen PC (mit WinXP) reparieren, der überhaupt nicht mehr hochfahren wollte - scheinbar. Das heißt, es passierte gar nix, Bildschirm blieb schwarz. Auch im Abgesicherten Modus, also nach Drücken von F8, kein anderes Ergebnis. Also CD rein und Systemreparatur - da gings erstmal wieder. Natürlich habe ich mich ein wenig umgeschaut, aber nichts gefunden bis auf eine verdächtige winzige "dl.exe". Aber sonst nichts Ungewöhliches, auch nicht in der registry. Der Rechner wurde noch ein bißchen saubergemacht, temporäre Dateien gelöscht, defragmentiert, und dann zum Überprüfen Neustart.
Hm. Alles blieb schwarz. Sehr dubios.
Ich habe dann von einer Knoppix-CD aus gestartet, um nachzusehen, was los ist. Siehe da: sämtliche *.exe waren auf Minimalgröße geschrumpft und nur noch zehn bis 30 KB groß, und alle trugen das Datum vom 27. März 2007. Sowas Ähnliches machte vor längerer Zeit mal irgendein Virus oder Wurm, ich weiß aber nicht mehr, welcher. Und der Virenscanner hat auch nix gesagt.
Ich habe dann also sicherheitshalber doch noch die Platte vollkommen gelöscht und das System völlig neu aufgespielt, weil ich keine Lust hatte, jedes einzelne Programmteil auf "Befall" durchzukucken. Danach gings dann. Und geht auch heute noch.
Kann sich jemand erinnern, was das für ein Übeltäter war, der alle ausführbaren Dateien auf einen Rutsch unbrauchbar gemacht hat, indem er sie auf Zwergengröße reduzierte?
Grüße aus Berlin
Christoph S.
-
Hallo Christoph.
Kann sich jemand erinnern, was das für ein Übeltäter war, der alle ausführbaren Dateien auf einen Rutsch unbrauchbar gemacht hat, indem er sie auf Zwergengröße reduzierte?
Scheint sich um einen schädlichen E-Mail-Anhang zu handeln.
Einen schönen Freitag noch.
Gruß, Mathias
--
ie:% fl:| br:< va:) ls:& fo:) rl:( n4:~ ss:) de:] js:| mo:| zu:)
debian/rules-
hallo,
Scheint sich um einen schädlichen E-Mail-Anhang zu handeln.
Nein, obwohl die Vermutung natürlich naheliegt. Auf diesem Rechner gab es aber überhaupt kein mail-Konto.
Grüße aus Berlin
Christoph S.
-
hi,
Scheint sich um einen schädlichen E-Mail-Anhang zu handeln.
So, jetzt hab ich ihn auch ...
Hintergrund: es gab auf dem befallenen Rechner eine einzige *.exe, die größer als 30 KB geblieben war und ein anderes Datum trug. Das war/ist eine Datei "testcgi.exe". Der Provider, bei dem mein Bekannter Webspace gemietet hat, ist einer der ganz wenigen, der nicht den Apache, sondern IIS einsetzt. Und der hat genau diese "testcgi.exe" verwendet, um einfach bloß die CGI-Umgebungsvariablen darstellen zu lassen.
Auf dem befallenen Rechner gab es ebenfalls IIS zum Testen von Scripts, und diese "testcgi.exe" hatte sich mein Bekannter vor wenigen Tagen geholt, um sich eben die CGI-Umgebungsvariablen anzeigen zu lassen. Und ich hatte mir nun vorgestern diese "testcgi.exe" auf eine Diskette kopiert, um sie mir mal anzuschauen. Bei ihm habe ich sie einschließlich des gesamten Systems eliminiert.Dumme Idee. Ich habe sie auf einem meiner Rechner vor einer halben Stunde im cgi-bin des lokalen Apache eingelagert und danach aufgerufen. Da ich vorsichtig bin, war der Rechner vorher aus dem lokalen Netz ausgekoppelt worden und hatte keinerlei Internetanbindung. Siehe da: plötzlich hatte ich genau diese "dl.exe" auch, und genau dasselbe Problem, daß alle *.exe "geschrumpft" wurden, hatte ich ebenfalls.
Na gut, mir hat es nix geschadet, ich kann dann halt auch meinen Rechner nochmal neu aufbauen, aber das war/ist eh nur einer, der mir als "Spielweise" dient und auf dem es keinerlei "Daten" gibt, die verlorengehen könnten. Aber ich kann damit ausschließen, daß es sich um Malware handelt, die über email verbreitet wird.
Allerdings hast du da eine durchaus interessante Diskussion zum Thema gefunden. Ich bin mir bloß immer noch nicht sicher, welcher Virus/Wurm da zugeschlagen hat - und vor allem: ich sollte ja wohl den Provider warnen. Auch wenn er das Problem vermutlich mitgekriegt haben müßte. Nur: handelt es sich dabei um irgendeine "neue" Schadsoftware oder ist da irgendwas Uraltes konserviert worden? Die Informationsseiten der "großen" Antivirus-Softwarehersteller lassen mich bei der Stichwortsuche nach "dl.exe" komplett im Stich.
Grüße aus Berlin
Christoph S.
-
Scheint sich um einen schädlichen E-Mail-Anhang zu handeln.
So, jetzt hab ich ihn auch ...
LOL
Und ich hatte mir nun vorgestern diese "testcgi.exe" auf eine Diskette kopiert, um sie mir mal anzuschauen. Bei ihm habe ich sie einschließlich des gesamten Systems eliminiert.
Dumme Idee. Ich habe sie auf einem meiner Rechner vor einer halben Stunde im cgi-bin des lokalen Apache eingelagert und danach aufgerufen. Da ich vorsichtig bin, [...]
Lustige Geschichte, finde ich gut, dass Dir diese nicht peinlich ist. Verona-mässig cool!
-
Hallo Christoph,
Allerdings hast du da eine durchaus interessante Diskussion zum Thema gefunden. Ich bin mir bloß immer noch nicht sicher, welcher Virus/Wurm da zugeschlagen hat
och, es gibt mehrere Möglichkeiten.
Nur: handelt es sich dabei um irgendeine "neue" Schadsoftware oder ist da irgendwas Uraltes konserviert worden? Die Informationsseiten der "großen" Antivirus-Softwarehersteller lassen mich bei der Stichwortsuche nach "dl.exe" komplett im Stich.
Und Dein Gedächtnis - im Gegensatz zu meinem. Warum nutzt Du nicht die Forumssuche. Da wärst Du fündig geworden. Lustigerweise ist der von mir verlinkte Archivthread fast ein Jahr alt und ...
... ausgerechnet von Dir.
Freundliche Grüße
Vinzenz
-
... ausgerechnet von Dir.
Hoffen wir mal, dass Christoph nicht der Viren-Lieferant war.
-
hallo Vinzenz,
... ausgerechnet von Dir.
Na doch - daher hatte mich ja diese "dl.exe" auch stutzig gemacht. _Alles_ hate ich aber nicht mehr im Gedächtnis, und daß das Teil in einer "testcgi.exe" verborgen sein könnte, war mir komplett unbekannt.
Grüße aus Berlin
Christoph S.
-
-
-