dedie hat mir ein Exemplar der Mail zugesandt (nochmal vielen Dank!). Habe damit folgendes erlebt:

Zuächst scheiterte schon die Übersendung der Mail, da Googlemail die Mail als virenverseucht blockierte. GMX war da nicht so auf der Höhe. Ein Virus wurde nicht erkannt.

Der Schädling steckt in einem Zip-File und hat den Namen PW_klass.Pic.packed.bitmap.exe.

In einem ersten Versuch ließ ich den Wurm auf ein ungepatchtes Win XP mit installiertem Zone Alarm und AVG (Grisoft, Free Version) los. AVG erkannte den Schädling, als ich ihn auslösen wollte und daraufhin stürzte Win ab. Ob das an der Virtual Machine lag, weiß ich nicht. Jedenfalls war nach einem Neustart der Wurm nicht ausgeführt.

Nächster Versuch mit deinstalliertem AVG. Bei dem verhängnisvollen Klick auf die exe erscheint eine Fehlermeldung "Error in packed file!" und sonst tut sich zunächst nichts. Nach einem Neustart wollte ich Hijackthis ausführen, es poppte jedoch nur ein Fenster auf mit der Meldung: "Antivirus-Antispyware. No viruses, Trojaner or Spyware found." Prozess Radar fand einen verdächtigen "services"-Dienst. Netstat war noch unauffällig.

Nach dem nächsten Neustart meldete Zone Alarm: "Neues Programm versucht auf das Internet zuzugreifen". Keine weiteren Infos. Nur die übliche Auswahl, ob man dies gestatten möchte oder nicht. Ich habe die Genehmigung verweigert, trotzdem meldete mein DSL-Modem regen Traffic. Auf die Suche nach einem neuen geöffneten Port habe ich letztendlich verzichtet, da netstat in dieser Win-Installation völlig unübersichtlich ist. In Verdacht habe ich Port 3019. Da wartete etwas auf Befehle.

Nach dem nächsten Neustart meldete ZA: "| nimmt bei jedem Start Einstellungen am Autostart vor." Genehmigen oder nicht? Sonst keine Infos. Habe ich wieder verweigert.

Der erste Download-Versuch von AVG bricht mit einer Fehlermeldung ab. Im zweiten Anlauf klappt es dann. AVG findet auf Anhieb den Wurm in der gepackten Datei. Den ausgeführten Schädling (siehe unten HJT-Log) fand AVG nicht.

Dafür funzte HJT wieder. Das Logfile wirft den ausgeführten Wurm unter C:\WINDOWS\ConnectionStatus\services.exe aus.

Beim Versuch, die Datei bei Jotti zu scannen meldete sich doch AVG wieder zu Wort und warnte vor Sober S. Beim anschließenden Full-Scan schwieg AVG jedoch wieder.

Logfile of HijackThis v1.99.1
Scan saved at 17:12:08, on 09.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\VMware\VMware Tools\VMwareService.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\VMware\VMware Tools\VMwareTray.exe
C:\Programme\VMware\VMware Tools\VMwareUser.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Hijackthis\hijackthis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe
O4 - HKLM\..\Run: [ WinINet] C:\WINDOWS\ConnectionStatus\services.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [_WinINet] C:\WINDOWS\ConnectionStatus\services.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Programme\VMware\VMware Tools\VMwareService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

edit:
im Prinzip also wie hier:
http://www.f-secure.com/v-descs/sober_s.shtml
Allerdings wurden bei mir die dort genannten weiteren Ordner nicht angelegt.

Klar. Auch der Sober S ist inzwischen ja ausreichend dokumentiert. Mir ging es auch mehr um die Darstellung, wie die Infektion "live und in Farbe" abläuft. Außerdem fand ich dieses diffuse Verhalten von AVG nicht gerade beruhigend. ZA wiederum hat sich verhalten, wie ich es erwartet habe. Im Prinzip funktionierte ZA [1], aber die ausgeworfenen Meldungen sind derartig nebulös, dass viele Betroffene nicht die richtige Entscheidung treffen werden.

[1]
Mit der Einschränkung, dass ich bei der ersten Meldung trotz nicht erteilter Erlaubnis verdächtig viel Traffic hatte. Konnte den allerdings nicht zuordnen.

Zitat:

Original von dedie(ein onlinescann wäre mal was nettes).

Oder der Einsatz eines Removal-Tools...

BTW: Dein Test lief unter VM-Ware, wenn ich das richtig verstanden habe? Vielleicht liegt auch darin das ungewöhnliche Verhalten von AVG...

AVG war natürlich auf dem aktuellen Stand.

Zitat:

Dein Test lief unter VM-Ware, wenn ich das richtig verstanden habe? Vielleicht liegt auch darin das ungewöhnliche Verhalten von AVG.

Da dachte ich auch schon dran. Aber mir fehlen Mittel und Sachkenntnis, um dies zu überprüfen.

Die Idee mit dem Removal-Tool finde ich klasse. Ich werde berichten. Ich wollte evtl. auch noch andere AV-Programme ausprobieren. Allerdings ist das ziemlich zeitaufwändig: Muss in VMWare resetten, damit das Ergebnis niicht verfälscht wird, mir den Fiesling neu downloaden, infizieren, AV-Programm installieren und auswerten. Mal gucken.

Der Hinweis auf diese Viren, die auf virtuelle Umgebungen reagieren, stand in der c't im Bericht zu VMWare.

Zitat:

War also nix mit Kaspersky.

Daher ja auch mein Dauerbrenner: Eigentlich ist es schietegal, mit welchem AV-Programm man die Infektion nicht entfernt.

Allerdings bin ich mir noch nicht schlüssig, inwieweit die virtuelle Umgebung eine Rolle spielt, s. auch Beitrag von DerBilk.

Zitat:

Original von MobyDuck Zitat: Dein Test lief unter VM-Ware, wenn ich das richtig verstanden habe? Vielleicht liegt auch darin das ungewöhnliche Verhalten von AVG. Da dachte ich auch schon dran. Aber mir fehlen Mittel und Sachkenntnis, um dies zu überprüfen.

Leider fehlen mir im Moment zumindest ebenfalls die Mittel und Sachkenntnis. Da VM-Ware aber ein Thema ist, mit dem ich mich in Zukunft auch beruflich auseinandersetzen 'darf' werde ich das auf jeden Fall im Hinterkopf behalten...

Zitat:

Allerdings ist es ja auch nicht der Idealfall, dass man ein AV-Programm erst dann installiert, wenn es passiert ist.

Das dürfte zumindest laut Herstellern nix ausmachen, davon abgesehen wird grundsätzlich immer wieder empfohlen ein zusätzliches Antivirenproggie bei einem Verdachtsfall zu nutzen.

Diese empfehlung könnte man sich dann auch sparen


PS: Ich habe bisher immer nur auf einem separaten vollwertigem System solche versuche gemacht und da haben die Scanner im allgemeinen nicht versagt(der letzte Test liegt aber auch schon ca. 9 monate zurück)

Richtig interessant wird die Kiste ja, wenn man sich den Netzwerkverkehr mal genauer unter die Lupe nimmt.
Alleine was da unter smtp abläuft ist ja doch schon heftig.
Da kommen ja nur Commands zum Versenden von Spam.Den rest werde ich mir mal später genauer unter die Lupe nehmen.
Mittlerweile wird die I-Netverbindung automatisch erstellt und WinFixer und spysherrif bieten mir immer wieder an mein system zu bereinigen.
vllt. sollte ich ja mal meine Kreditkarte zücken... .