| | | Spector 2.1 - Ein Programm späht den Nutzer aus
In den letzten Tagen wird auf diversen News-Seiten über ein Programm "Spector" berichtet. Spector ermöglicht die Kontrolle über alle durchgeführten Tätigkeiten auf einem System. Dazu erstellt das Programm in voreingestellten Zeitabständen (Standarteinstellung alle 30 Sekunden) Screenshots (Bildschirmfotos) des kompletten Desktops. Dazu können Passwörter aufgezeichnet werden, die sonst als Sternchen zu sehen sind. Desweiteren werden alle Internetaktivitäten (welche Seiten besucht wurden etc.) protokolliert.
Wie es auf einigen News-Seiten heisst, kann die Existenz von Spector selbst durch Spezialisten nur schwer ermittelt werden.
Viele Firmen in den USA setzen dieses Programm ein, um die Tätigkeiten am PC Ihrer Mitarbeiter zu protokollieren. Ob dieses auch teilweise in Deutschland üblich ist, entzieht sich meiner Kenntnis. Auch wurden viele Ehepartner mittels Spector bereits ausgespäht. Nicht selten hatten die erworbenen Erkenntnisse Kündigungen am Arbeitsplatz und Scheidungen zur Folge.
Spector wird sogar von Privatdedektiven eingesetzt.
Ich habe mir eine Testversion des Programmes Spector von der Herstellerseite (http://www.spectorsoft.com) heruntergeladen und das Programm installiert.
Im nächsten Abschnitt erkläre ich die Arbeitsweisen, Merkmale, Erkennung und manuelle Entfernung des Programmes.
Installation:
Bei der Installation von Spector 2.1 kann der Anwender entscheiden, ob das Programm als "Stealth" oder "Visible" installiert werden soll.
Unter "Visible" wird eine Programmgruppe inklusive eines Tray Icons angelegt. Das Programm wird somit für den Anwender immer sichtbar.
Die "Stealth"-Methode installiert Spector 2.1 dahingehend, indem das Programm für den Anwender völlig unsichtbar bleibt.
Keine übliche Autorun-Methode, sowie laufende Prozesse geben Aufschluss über die Existenz von Spector 2.1. Noch nicht einmal ein sogenannter Process Viewer kann Spector als laufenden Prozess anzeigen.
Merkmale, Funktionsweise:
In dieser Beschreibung witme ich mich jedoch ausschliesslich der "Stealth"-Methode, installiert auf einem Betriebssystem Windows 98.
Spector kann nur über eine vorgegebene Tastenkombination gestartet werden. Die Default-Einstellung lautet CTRL+SHIFT+ALTE+S (alle Tasten müssen gleichzeitg betätigt werden). Jedoch kann bereits während der Installation bzw. auch bei späteren Programmaufrufen eine andere Tastenkombination ausgewählt werden. Ebenso ist noch ein zusätzlicher Passwortschutz möglich.
Spector 2.1 legt u.a. folgende Dateien im Verzeichnis c:\windows\system\ an
MSWNSRVX.EXE - 540 KB (das ist das Programm "Spector")
MSWNSRVX.GID - 12,5 KB (als versteckte Datei)
mswnsrvx.hlp - 637 KB (die Hilfedatei)
mswnsrvx.cnt - 1,72 KB
MSWNSRVX.INI - 1 KB
MSWNSRVX.LGC - 4 KB
Dazu den (versteckten) Ordner: "WebExt" im gleichen Verzeichnis - In diesem Ordner werde alle eingestellten Aktivitäten gespeichert. ACHTUNG ! ! Dieser Ordner kann über das Programm beliebig umbenannt werden. Ebenso die darin enthaltenen Dateiendungen und der Pfad, in dem sich der Ordner mit den Daten befinden soll.
Auch die "MSWNSRVX.EXE" könnte sich aufgrund einer Installation bzw. Manipulation eines versierten Anwenders in einem anderem Verzeichnis (auch Laufwerk !) befinden. Bei Doppelklick der "MSWNSRVX.EXE" wird das Programm Spector aufgerufen, welches sonst nur über die eingestellte Tastkombination möglich ist.
Manuelle Entfernung:
Zunächst muss mittels der Windows-Suchfunktion die "MSWNSRVX.EXE" gesucht werden.Zur Entfernung des Programmes braucht lediglich die "MSWNSRVX.EXE" gelöscht zu werden. Die Löschung trägt keinerlei fehlerhafte Funktionen des Win98 - Betriebssystemes mit sich.
Kommentar:
Wer nicht den Namen (MSWNSRVX.EXE) des Programmes Spector kennt, wird kaum eine Chance haben, diese Programm auf einem System zu identifizieren. Spector macht sich auch keine der herkömmlichen Autostart-Methoden zu eigen. Noch nicht einmal Hilfsprogramme wie z.B. Process Viewer, DrWatson, msconfig geben Aufschluss über die Existenz von Spector. Wäre es kein kommerzielles Programm, könnte man behaupten, ein Trojaner "erster Klasse".
Text & Analyse: (tt) 27.06.2000
| | | |
