GAZ / WZ  vom 07.01.2006

Trojanerschwemme

zurück

Das bestimmte Schadware zu definierten Zeitpunkten wieder aktiv werden kann und solange im Rechner schlummert, mag manchen überraschen. Auch die Tatsache dass sich um die Ferienzeit oder dessen Ende Trojaner offensichtlich besonders gerne auf den Weg machen, ist erstaunlich.
Vermehrt aufgetreten sind Vertreter dieser üblen Art mit dem Namen »SpyAxe« und »SpySheriff« in den letzten Tagen.
Erstes Anzeichen für den Befall ist eine merkwürdige Meldung des Computers die aus dem sogenannten SysTray hervorkommt und dem erstaunten Benutzer suggeriert, unbedingt für den Schutz des Computers zu sorgen. 
Natürlich ist das eine Falschmeldung und das System wird in Sekundenschnelle mit weiteren Meldungen aufwarten die den Benutzer auffordern diese und jene Webseite anzusteuern.
Der vorhandene Virenscanner meldet sich nicht immer gleich zu Wort und ist auch nicht in der Lage dieser Plage Herr zu werden. Der meldet zwar etwas gefunden und entfernt zu haben, aber das Spielchen wiederholt sich endlos.
Wer hier auf eine Fremdfirewall vertraut die der Schadware den Weg in das Internet verbieten soll wird sicher mit Schreck feststellen, es passiert nichts.
Diese Schadsoftware agiert über das Internet und vergräbt sich mit ca. 75 Einträgen in der Registry, neben etlichen Dateien die auf der Festplatte ein neues Heim suchen.
Der Auslöser wie so oft ist ein unbedachter Mausklick, der Rest passiert dann blitzschnell. Mit derart befallenen Computern zu arbeiten ist mehr als lästig, die Entfernung der ungebetenen Gäste scheint möglich, erfordert aber enormen Aufwand da es nicht mit dem löschen von wenigen Dateien abgehandelt ist.

Eine Schwachstelle in der Bildanzeige von Windows wurde in den letzten
Tagen des alten Jahres entdeckt und bekanntgegeben.
Es handelt sich um die Anzeige von WMF-Dateien, die Mithilfe
der Bild- und Faxanzeige angeschaut werden. Auslöser kann eine Grusskarte
oder ein Bild auf einer Webseite sein. Auch hier wird aus dem Internet
weitere Schadware nachgeladen. Die Befehlszeilenkonsole erscheint für einen
kurzen Moment hinter dem betrachteten Bild und anschließend platzieren 
sich etliche Verknüpfungen auf dem Desktop. Die derzeit gebräuchlichen
und auf aktuellen Stand gebrachten Virenscanner sollen in der Lage sein, 
diesen Schädling zu entdecken.
Laut Aussage von Microsoft wird die Lücke der Bild- und Faxanzeige per Hotfix am 10 Januar mit dem regulären WindowsUpdate gestopft. 
Aufgrund der Brisanz allerdings ist dieser Hotfix entgegen des üblichen Zeitplanes schon früher fertiggestellt worden und stand am Freitag im Laufe des Tages schon über WindowsUpdate und WSUS bereit. 
Vorübergehend konnte die verantwortliche DLL deaktiviert werden,
»regsvr32 -u %windir%\system32\shimgvw.dll«
aus der Eingabeaufforderung gestartet behob das Problem nur temporär.
Reaktivieren geht mit der Befehlszeile 
»regsvr32 %windir%\system32\shimgvw.dll«
Den Update gilt es also unbedingt einzuspielen, wobei dies auf Servern im Bedarfsfall auch etwas verzögert geschehen kann.
Michael Bormann