Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Detektive

ДЕТЕКТивы

Andere Ausgaben dieser Rubrik (4)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Dr.Web und die Laserschneidemaschine mit Windows 7

Gelesen: 1698 Kommentare: 8 Rating: 14

Dienstag, 16. Juni 2020

In der Regel haben wir es mit traditionellen Geräten wie PCs und Smartphones zu tun. Aber manchmal kommen seltene Dinge zu uns zur Analyse. So haben wir vor kurzem eine chinesische Laserschneidemaschine mit Windows 7 und der darauf installierten Software erhalten.

Zum Kopieren von Programmdateien von der Maschine auf den PC haben wir ein virenfreies Flash-Laufwerk verwendet. Auf dem PC bekamen wir eine Virenwarnung:

Worm.Siggen.12242 (infiziert) und alle Dateien auf dem Flash-Laufwerk verschwanden. Eine versteckte Partition tauchte auf. Mit der Maschine kam diese Software auf USB-Medien. Beim Kopieren der Dateien gab es viele Malware-Erkennungen.

Das Gute daran ist, dass unser Virenschutz auf den Arbeitscomputern installiert war: Er hat das Problem aufgedeckt.

Dr.Web hat eine ganze Sammlung gefunden, und Worm.Siggen.12242 war nicht der Einzige. Übrigens ist Worm.Siggen ein Wurm, der das gesamte Client-Netzwerk infiziert.

Unser technischer Support forderte umgehend einen Bericht von der Workstation und Proben von Malware zur Analyse an:

Welche Dateien entfernt wurden und warum, sollte man in den Protokollen prüfen. Ohne Beispieldatei und Protokolle können wir Ihnen leider nicht helfen.

Mit diesem Tool können Sie Protokolle sammeln und diese anhängen.

Die Datei wurde in die Quarantäne verschoben - und das ist gut so, denn von dort können Sie diese zur Prüfung extrahieren.

Der Benutzer hatte Angst davor, dies zu tun, aber unser Spezialist ermutigte ihn dazu:

Alles, was Sie aus der Quarantäne entfernen, wird standardmäßig nicht sofort entfernt. Entpacken Sie die Datei und packen Sie diese sofort in ein Archiv. Senden Sie das Archiv an uns. Die Datei kann danach sofort gelöscht werden.

Natürlich sollten Sie die Datei vorsichtig und nur auf der Workstation extrahieren, ohne dass Sie die Datei starten können.

Die Analyse zeigte, dass es sich um ein uraltes Virus handelt!

Dies scheint keine Fehldetektion zu sein. Es ist ein alter Virus, der Verknüpfungen anstelle von Ordnern erstellt und Dateien versteckt. Das ist heutzutage eher selten. Anscheinend sind alle Dateien auf einem Flash-Laufwerk nur noch versteckt.

Aktivieren Sie in den Ordneranzeige-Einstellungen im Explorer die Anzeige von versteckten Dateien und Ordnern. Oder geben Sie den Befehl an:

attrib -s -h -a -r E:\* /s /d

Er sollte alle Attribute der Dateien wieder an ihren Platz bringen.

Wenn das Flash-Laufwerk zuvor sauber war, ist es offensichtlich, dass die Infektion erfolgte, als die Dateien von der Maschine verschoben wurden. Dies bedeutet, dass die Maschine selbst infiziert wurde, wahrscheinlich in der Fabrik.

Wenn möglich, prüfen Sie den Rechner mit dem Dienstprogramm CureIt!, um alle gefundenen Bedrohungen zu neutralisieren.

Danach wurden dem Benutzer Links zu speziellen Dr.Web Tools zur Verfügung gestellt, die es ermöglichen, Problembereiche zu identifizieren und Probleme zu beheben.

Übrigens nahm der Benutzer zur gleichen Zeit Kontakt mit einem Lieferanten in China auf.

Die Antwort des chinesischen Supports: „Es ist kein Virus, schalten Sie einfach Ihr Antivirusprogramm aus und arbeiten Sie ruhig weiter.“

😊

Der Virus auf dem Rechner wurde erkannt:

Die Auswirkung des Virus auf „Flash-Laufwerke“ besteht darin, dass ein Virenprogramm auf diese geschrieben wird (Worm.Siggen.12242; Infektion des Mediums).

Darüber hinaus erstellt der Virus ein Verzeichnis auf dem „Flash-Laufwerk“, das das „Leerzeichen“-Symbol als Namen verwendet (Unicode-Symbol „non-breaking space“), in welches der Virus den gesamten Inhalt des Flash-Laufwerks vom Stammverzeichnis aus überträgt.

Die Daten werden also nicht vernichtet oder gar in irgendeiner Weise beeinträchtigt.

Sie sind in diesem speziellen Verzeichnis zu finden.

Mit dem Total Commander sollte Sie diesen Ordner sehen und öffnen können, wenn Sie in den Einstellungen die Anzeige von versteckten Ordnern und Dateien aktivieren.

Weitere Untersuchungen zeigten, dass die bösartige Software nicht nur dort vorhanden war, sondern das Programm infizierte.

Glücklicherweise war es ein Virus und kein Trojaner. Daher war es möglich, den bösartigen Code zu entfernen (der Unterschied zwischen Viren und Trojanern besteht darin, dass man den bösartigen Code aus einer Datei entfernen kann).

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

  1. Alte Viren sterben nicht. Es werden eher Systeme verschwinden, auf denen sie laufen. Aber bis dahin ist es noch ein langer Weg.
  2. Auf Netzwerkcomputern sollte ein Virenschutz installiert sein, einschließlich eines, der Infektionsstatistiken bietet.
  3. Haben Sie einen Computer gekauft? Prüfen Sie diesen mit Dr.Web Antivirus.
  4. Heute können Sie einen Trojaner auf vielen Geräten finden – vom Drucker bis hin zur Smart-Toilette.
  5. Die Standardaktion bei einem verdächtigen Objekt ist die Quarantäne. Andernfalls ist die Dateianalyse nicht möglich.
  6. Machen Sie ein Backup, bevor Sie wichtige Systeme behandeln.
  7. Bei Problemen wenden Sie sich bitte an uns.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer

Kommentare zu anderen Ausgaben | Meine Kommentare