Desaster beim Recovery
Noch immer gibt es tausende, mit dem Sober-Wurm infizierte PCs. Die Desinfektions-Tools helfen bei deren Reinigung oft wenig: Von neun getesteten erledigten nur drei ihren Job ordentlich.
Viele Hersteller bieten Desinfektions-Tools an, die entweder speziell gegen Sober oder gleich gegen die wichtigsten, aktiven Würmer helfen sollen. Doch der Wurm setzt einige Tricks ein, um seine Erkennung und Beseitigung zu erschweren. In einem Test von heise Security in Zusammenarbeit mit AV-Test [1] und dem Virus Bulletin [2] zeigten zweidrittel dieser Tools gravierende Mängel. Zwar fanden sie unter Windows 98 SE und XP eine Infektion meist und gaben vor, diese auch korrekt beseitigt zu haben. Eine genauere Inspektion der Rechner enthüllte jedoch, dass diese trotz dieser beruhigenden Auskunft in vielen Fällen immer noch mit dem Wurm infiziert waren.
Selbstschutz
Sober nutzt einige Tricks, um sich vor Antiviren-Software zu schützen. So startet er sich in zwei Instanzen, die gegenseitig prüfen, ob sie noch laufen. Wenn nicht, startet ein Prozess den jeweils anderen neu. Somit kann man den Wurm nicht einfach manuell per Taskmanager aus dem Speicher werfen und auch AV-Software wird kein Glück haben, wenn sie lediglich versucht, die Prozesse einzeln zu beenden und sich dabei zuviel Zeit lässt.
Unter Windows 9x/Me sind die Wurm-Dateien im System-Verzeichnis von Windows generell geöffnet, wenn der Wurm läuft, weshalb sie sich zwar untersuchen, aber nicht löschen lassen. Unter Windows NT/2000/XP legt der Wurm aber noch nach und öffnet die EXE-Dateien jeweils im exklusiven Zugriffsmodus. So lassen sich die Dateien nicht mal mehr öffnen. Gibt ein Virenscanner hier nicht mal eine Warnung aus, dass er Dateien nicht scannen konnte, bleibt eine Infektion unter Umständen gänzlich unbemerkt.
Während der Wurm für die sich gegenseitig schützenden Dateien jeweils verschiedene Namen verwendet (etwa drv.exe, antiv.exe, winlog32.exe oder winreg.exe) legt er zusätzlich noch eine Datei similare.exe mit seinem Code an, die nicht geöffnet ist und sich problemlos scannen oder löschen lässt. Der Virus erstellt sie jedoch bei jedem Rechnerstart neu.
Auch seine Registry-Einträge schützt der Wurm, indem er ein paar Mal pro Sekunde prüft, ob der "Run"-Schlüssel, der auf ihn verweist, noch gesetzt ist. Wenn nicht, stellt er ihn wieder her. Eine detaillierte Beschreibung des Wurms findet sich auf den Seiten von H+BEDV [3].
Wir haben neun Spezialreinigungsprogramme verschiedener Hersteller unter deutschem Windows 98 Second Edition (mit installiertem Office XP) und Windows XP SP1 getestet. Zunächst haben wir die Rechner per Doppelklick auf den Wurm infiziert und anschließend mit einem Reinigungstool versucht, die Systeme wieder in Schuss zu bringen. Dabei prüften wir, ob die Wurm-Tasks geschlossen wurden (Speicher-Check), ob alle Wurm-Dateien entfernt und die Registry-Keys wieder gelöscht wurden.
Reinigungsprogramme
AntiVir (H+BEDV) Sober-Cleaner
Das Spezial-Reinigungstool von AntiVir läuft nur auf der Kommandozeile: Startet man es vom Explorer aus, so öffnet und schließt sich nur kurz ein DOS-Fenster. Wird es mit einem Parameter wie "C:\Windows" gestartet, so erkennt es den Wurm im Speicher und entfernt ihn dort und auf Festplatte. Die Registry-Einträge fässt das Tool nicht an. Unter Windows 98 hat es sogar noch einen deftigen Bug: Will man das ganze C:-Laufwerk mit dem Kommandozeilenparameter "C:" oder "C:\" scannen, passiert gar nichts. Auf unsere Anfrage hin will der Hersteller in Kürze eine neue Version zur Verfügung stellen, die diese Mängel behebt.
Avast! Reinigungstool
Weder unter Windows 98, noch unter XP traten irgendwelche Probleme auf: Das Tool fand dem Wurm im Speicher, entfernte ihn, scannte dann die Festplatte, löschte die befallenen Dateien und säuberte die Registry. Alles so, wie es eigentlich sein sollte.
Bitdefender Sober-Cleaner
Nur unter Windows 98 funktioniert das Tool von Bitdefender korrekt, wobei die Reinigung einen Neustart benötigt. Unter Windows XP entfernt Bitdefender den Wurm im Speicher nicht, womit er auch nicht von der Festplatte geputzt werden kann (außer der Datei similare.exe). Auch wenn der Scanner hinterher meldet, dass das System nun in Ordnung sei, ist der Wurm immer noch aktiv auf dem PC. Der Hersteller hat mittlerweile eine fehlerbereinigte Version bereitgestellt.
McAfee Stinger
Mit Hilfe von McAfee Stinger sollen sich viele Wurm-Härtefälle beseitigen lassen, aber nur unter Windows 98 funktioniert die Desinfektion. Unter Windows XP scheint das Tool den Wurm nicht aus dem Speicher zu entfernen, so dass nur die Datei similare.exe gefunden und gelöscht wird. Der Wurm selbst verbleibt aktiv auf dem PC. Network Associates hat uns zugesagt, in Kürze eine neue, korrigierte Version zu veröffentlichen.
Nod32 Sober-Desinfektionstool
Wie die meisten Programme funktioniert auch das Nod32-Desinfektionstool nur unter Windows 98 korrekt, wobei der Wurm nach einem Rechnerneustart beseitigt ist. Allerdings verbleiben Einträge in der Registry. Wie Bitdefender und McAfee findet das Tool unter Windows XP nur die similare.exe und meldet dann verheißungsvoll, dass der Wurm erfolgreich beseitigt wurde. Der läuft aber noch im Hintergrund. Bisher gab der Hersteller dazu keine Stellungnahme ab.
Panda PQRemove
Ähnlich wie McAfee Stinger will PQRemove die wichtigsten Würmer entfernen können, allerdings ist das Programm mit 1,3 MB deutlich zu groß geraten. Die Reinigung funktioniert unter Windows 98 und XP. Allerdings verbleibt unter Windows XP noch ein Registry-Key und eine leere Wurm-Datei (Null Bytes), die zwar unschädlich, aber auch nicht schön ist. Der Hersteller hat das Problem bereits bestätigt und will in Kürze eine neue Version herausgeben.
Safetysoft Sober-Killer
Von der deutsche Firma Safetysoft gab es den einzigen Wurm-Killer, der nicht kostenlos ist, sondern mit 6,50 Euro plus 1,00 Euro für den Versand per E-Mail zu Buche schlägt. Unter Windows 98 schlägt die Entfernung fehl und nach einem geforderten Rechnerneustart blinkt der Mauszeiger nur noch wild. Auch mehrfache Starts des Tools und erneute Reinigungsvorgänge brachten keine Abhilfe. Unter Windows XP lief das Programm dafür problemlos und entfernte den Wurm samt Registry-Keys. Momentan arbeitet der Entwickler noch an einem Fix.
Symantec Sober-Reinigungstool
Das Symantec-Tool ist so einfach wie wirkungsvoll: Sowohl unter Windows 98 und XP war unser Testsystem nach einem Durchlauf virenfrei.
Trend Micro Wurm-Cleaner
Der Wurm-Cleaner von Trend Micro ist wie McAfee Stinger ein Spezialtool gegen verschiedene Würmer, das allerdings nur auf der Kommandozeile arbeitet. Nach einem Doppelklick entfernte es unter Windows 98 und XP rückstandsfrei den Wurm, gab dafür aber keinerlei "Gefunden"-Meldungen aus. Somit ist es weniger für Endanwender, als vielmehr für Firmenkunden geeignet, die die Wurmentfernung per Netzwerk Login-Script vornehmen möchten.
Fazit
Von neun getesteten Reinigungsprogrammen konnten gerade einmal drei wirklich überzeugen: Nur die Scanner von Avast!, Symantec und Trend Micro hielten, was sie versprachen. Durch das fehlende Feedback für den Anwender ist das Tool von Trend Micro aber nur für Firmen sinnvoll. AntiVir scheiterte vor allem an der Registry-Reinigung und Panda hinterließ noch Spuren der Infektion.
Völlig versagten hingegen Bitdefender, McAfee und Nod32 unter Windows XP, sowie der Sober-Killer von Safetysoft unter Windows 98. Da kommt dann schnell die Frage auf, ob die eiligst bereitgestellten Tools überhaupt noch getestet werden. Immerhin versprachen alle Hersteller außer Nod32 schnelle Abhilfe in Form von Updates.
Literatur
[1] Wurm W32.Sober tarnt sich als Antiviren-Tool [3], Meldung auf heise Security
[2] Man spricht Deutsch [4], Kommentar auf heise Security
[3] Sober-Beschreibung [5] bei H+BEDV
Die getesteten Tools
- AntiVir (H+BEDV) Sober-Cleaner [6]
- Avast! Reinigungstool [7]
- Bitdefender Sober-Cleaner [8]
- Nod32 Sober-Desinfektionstool [9]
- Panda PQRemove [10]
- Safetysoft Sober-Killer [11]
- Symantec Sober-Reinigungstool [12]
- Trend Micro Wurm-Cleaner [13]
(ju [14])
URL dieses Artikels:
https://www.heise.de/-270342
Links in diesem Artikel:
[1] http://www.av-test.de
[2] http://www.virusbtn.com
[3] https://www.heise.de/news/Wurm-W32-Sober-tarnt-sich-als-Antiviren-Tool-Update-87507.html
[4] https://www.heise.de/meinung/Man-spricht-Deutsch-270338.html
[5] http://www.antivir.de/vireninfo/sober.htm
[6] http://www.antivir.de/vireninfo/sober.htm
[7] http://www.avast.com/i_idt_171.html
[8] http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=163
[9] http://www.nod32.de
[10] http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=41441
[11] http://www.schutzsoftware.info/
[12] http://www.symantec.com/avcenter/venc/data/w32.sober@mm.html
[13] http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.A
[14] mailto:ju@ct.de
Copyright © 2003 Heise Medien