Laut Autor wieder eine "verbesserte Variante". Verbessert jedoch dahingehend, dass dieser schwieriger auffindbar und zu entfernen ist. Aufgrund dieser Tatsache stellt "DerSpaeher" ab sofort eine weitaus stärkere Bedrohung dar, wie man es von dieser Datei noch nicht kannte. Die ältere Version konnte noch verhältnismässig leicht entfernt werden. Der Autor liess sich dieses Mal eine Menge einfallen, damit der Trojaner nicht so schnell entfernt werden kann. Das Programm befindet sich seit dem 21.08.99 im Umlauf.
Nach dem der Anwender die Server-Datei gestartet hat, geschieht folgendes:
Anlegen von Dateien:
C:\Windows\System\dkbdll.exe
C:\Windows\Command\Mome.exe
C:\Windows\Windows\Mome.exe
C:\Windows\System\aBoota.bat
C:\Windows\System\Gci32q.dll
Eintragungen in das System:
Registrierung - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\dkbdll.exe
Win.ini - run= C:\Windows\Command\Mome.exe | Autoexec.bat - @echo off | | | call C:\WINDOWS\System\aboota.bat |
Nach Ausführung der Server-Datei läuft zunächst die Datei:
C:\Windows\Command\Mome.exe im Hintegrund des Systemes. Die Server Datei ist 207 KB gross (egal unter welchem Namen etc.).
Die Mome.exe ist der Trojaner in seiner "Grundversion" und wird durch einen entsprechenden Eintrag in der Win.ini (siehe unter "Eintragungen...") bei jedem Systemstart ebenfalls ausgeführt. Auch die "dgbdll.exe" ist der Trojaner, welcher sich jedoch nicht aktiv im System befindet, sondern stellt vermutlich sowas wie eine "Reserve" dar, sollte die "Mome.exe" mal nicht mehr vorhanden sein.
KLEINER HINWEIS: Leider konnte ich mein Testsystem nur einmal infizieren. Eine zweite vollständige Infektion war nicht möglich. Aus welchen Gründen das auch sein mag. Die Deiten wurden nur zum Teil angelegt und Eintragungen in das System waren nicht mehr festzustellen. Warum das so ist, kann hier nicht gesagt werden.
Aus diesem Grunde war es mir nicht möglich, alle Routinen des Trojaners zu testen.
Die Datei "C:\Windows\Windows\Mome.exe" zeigte sich in ihrer eventuellen Funktion gar nicht.
Sollte dem Anwender die Dateien: C:\Windows\System\dkbdll.exe u. C:\Windows\Command\Mome.exe aufgefallen und gelöscht worden sein, ist der Trojaner leider noch lange nicht entfernt.
Der Autor des Programmes hat eine Routine eingebaut, die es ermöglicht, den Trojaner immer wieder in das Verzeichnis "C:\Windows\System\dkbdll.exe" zu kopieren.
Während dem Bootvorgang des Systemes wird durch die Eintragung in der Autoexex.bat die "aboota.bat" aufgerufen die den folgenden Befehl laut diesem Bild ausführt:
So kommt nun die Anfangs erwähnte "Gci32Q.dll" zum Einsatz. Diese dll-Datei wird in das o.g. Verzeichnis kopiert und entpsrechend umbenannt. Dieses geschieht auch, wenn diese Datei sich nicht mehr in dem Verzeichnis befindet, weil die z.B. vorher gelöscht wurde.
In meinem Test ergabe sich ausserdem, dass sich nach dem Start auch die Mome.exe wieder auf dem Rechner befand. Dieses Mal jedoch direkt auf dem Desktop. Löschversuche, indem man diese einfach in den Papierkorb schob, scheiterten. Die Mome.exe "erneuerte" sich stets wieder, wobei die gelöschte Datei sich noch im Papierkorb befunden hat. Wie dem auch sei, jetzt erkläre ich dir Schritt für Schritt, wie man diesen
"hartnäckigen" Trojaner ein für alle Mal los wird:
Aktueller Hinweis: Der Autor des Programmes hat in meinem Gästebuch am 22.08.99 darauf hingewiesen, dass diverse Eintragungen nicht zu entfernen seien, da sich diese immer wieder neu generieren. - Dieses konnte ich nicht nachvollziehen, da es bei mir nicht der Fall war. Eventuell kann es daran gelegen haben, dass der Trojaner vielleicht (aus welchen Gründen auch immer) nicht einwandfrei auf meinem Extra-Testrechner funktionierte. Ein weiterer Besucher hatte die Aussage des Autors ebenfalls bestätigt. Damit Ihr auf Nummer sicher gehen könnt, habe ich die Beschreibung um den Punkt "00" erweitert. Dann wird "DerSpaeher" bestimmt entfernt.
00. Starte Dein System neu. Bei Windows 98: Die "Strg-Taste" beim Start gedrückt halten, bei Windows 95 die "F8-Taste" drücken, wenn die Meldung "Windows wird gestartet" erscheint. Jetzt kommt ein Menü, aus dem Du "abgesicherten Modus" wählst. Der Start wird jetzt länger dauern als gewohnt.
Nicht erschrecken, sollte Deine Festplatte wie verrückt rattern, ist normal, genau wie die grosse Auflösung, die dann erscheinen wird.
01. Über Startlogo (unten links im Desktop) auf "Ausführen" gehen, "sysedit" eingeben und auf "OK". Es öffnen sich verschiedene Fenster. Wähle jetzt die Autoexec.bat aus. Lösche aus diesem Verzeichnis die o.g. Eintragungen:
Schliesse das Fenster und speicher die Änderung (Windows fragt danach u. einfach "Ja" klicken).
02. Gehe jetzt auf das Fenster "win-ini" und lösche auch hier die Eintragungen, wie diese bereits Anfangs genannt wurden. Der Eintrag sieht so aus (zur Erinnerung):
Schliesse das Fenster und speicher die Änderung (Windows fragt danach u. einfach "Ja" klicken). Oder schliesse gleich die ganze "regedit", da wir diese jetzt nicht mehr brauchen.
03. Über Startlogo (unten links im Desktop) auf "Ausführen" gehen, "regedit" eingeben und auf "OK". Jetzt öffnet sich vor die Deine Registrierdatenbank. Klicke Dich jetzt durch folgende Pfade, indem Du einfach auf das jeweilige Ordnericon doppeklickst.
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"
Nach dem Du auch den Ordner "Run" geöffnet hast, siehst Du im rechten Fenster eine Eintragung:
Die Eintragung mit der rechten Maustaste anklicken und dann auf löschen und mit "Ja" bestätigen.
04. Über Startlogo (unten links im Desktop) "Suchen" und dann auf "Dateien/Ordner" klicken.
Jetzt bist Du in der Suchfunktion von Windows. Jetzt lässt Du nacheinander die Dateien: dkbdll.exe, Mome.exe, aBoota.bat, Gci32q.dll. suchen und löschst diese. Löschen kannst Du diese, indem Du direkt in dem Fenster, wo die Suchergebnisse erscheinen mit der rechten Maustaste draufklickst und auf "löschen" gehst. Die Mome.exe wirst Du eventuell zwei Mal finden.
05. Starte jetzt noch einmal Dein System neu (dieses mal jedoch normal, wie sonst auch) und gehe noch mal zur Sicherheit alle Schritte durch bzw. überprüfe hierbei, ob Du auch nichts vergessen hast. Wenn alles in Ordnung ist, kann der Trojaner Dir nichts mehr anhaben.
Statement zu "DerSpaher":
Laut Autor soll dieses Programm NICHT als Trojaner verwendet werden. Sicherlich ist das ein sehr guter Hinweis. Jedoch frage ich mich, warum solcherleit Routinen in den Server eingebaut werden, damit dieser durch einen ahnungslosen User kaum entfernt werden kann. Genauso Funktionen wie "Ping Pong Virus" aktivieren", "öffnen/schliessen der CD-Rom-Lade" und viele andere Funktionen gehören sicherlich nicht in ein Administrator-Tool. Auch Virenspezialisten von Anti Viren Software Hersteller sehen das ebenfalls so.
Sollte es irgendwelche Probleme bei der Entfernung oder sonstiges zum "Spaeher" geben, stehe ich Euch gerne noch mal per E-Mail zu Verfügung. Denn es kann schon durchaus sein, dass bereits morgen sich das Programm in einer anderen Form bemerkbar etc. macht. Das Programm wird ständig durch den Autor überarbeitet. Gerade das macht den Spaeher zu einer hohen Gefahrenquelle.
|