Desaster beim Recovery
Noch immer gibt es tausende, mit dem Sober-Wurm infizierte PCs. Die Desinfektions-Tools helfen bei deren Reinigung oft wenig: Von neun getesteten erledigten nur drei ihren Job ordentlich.
- Andreas Marx
Viele Hersteller bieten Desinfektions-Tools an, die entweder speziell gegen Sober oder gleich gegen die wichtigsten, aktiven Würmer helfen sollen. Doch der Wurm setzt einige Tricks ein, um seine Erkennung und Beseitigung zu erschweren. In einem Test von heise Security in Zusammenarbeit mit AV-Test und dem Virus Bulletin zeigten zweidrittel dieser Tools gravierende Mängel. Zwar fanden sie unter Windows 98 SE und XP eine Infektion meist und gaben vor, diese auch korrekt beseitigt zu haben. Eine genauere Inspektion der Rechner enthüllte jedoch, dass diese trotz dieser beruhigenden Auskunft in vielen Fällen immer noch mit dem Wurm infiziert waren.
Selbstschutz
Sober nutzt einige Tricks, um sich vor Antiviren-Software zu schützen. So startet er sich in zwei Instanzen, die gegenseitig prüfen, ob sie noch laufen. Wenn nicht, startet ein Prozess den jeweils anderen neu. Somit kann man den Wurm nicht einfach manuell per Taskmanager aus dem Speicher werfen und auch AV-Software wird kein Glück haben, wenn sie lediglich versucht, die Prozesse einzeln zu beenden und sich dabei zuviel Zeit lässt.
Unter Windows 9x/Me sind die Wurm-Dateien im System-Verzeichnis von Windows generell geöffnet, wenn der Wurm läuft, weshalb sie sich zwar untersuchen, aber nicht löschen lassen. Unter Windows NT/2000/XP legt der Wurm aber noch nach und öffnet die EXE-Dateien jeweils im exklusiven Zugriffsmodus. So lassen sich die Dateien nicht mal mehr öffnen. Gibt ein Virenscanner hier nicht mal eine Warnung aus, dass er Dateien nicht scannen konnte, bleibt eine Infektion unter Umständen gänzlich unbemerkt.
Während der Wurm für die sich gegenseitig schützenden Dateien jeweils verschiedene Namen verwendet (etwa drv.exe, antiv.exe, winlog32.exe oder winreg.exe) legt er zusätzlich noch eine Datei similare.exe mit seinem Code an, die nicht geöffnet ist und sich problemlos scannen oder löschen lässt. Der Virus erstellt sie jedoch bei jedem Rechnerstart neu.
Auch seine Registry-Einträge schützt der Wurm, indem er ein paar Mal pro Sekunde prüft, ob der "Run"-Schlüssel, der auf ihn verweist, noch gesetzt ist. Wenn nicht, stellt er ihn wieder her. Eine detaillierte Beschreibung des Wurms findet sich auf den Seiten von H+BEDV [3].
Wir haben neun Spezialreinigungsprogramme verschiedener Hersteller unter deutschem Windows 98 Second Edition (mit installiertem Office XP) und Windows XP SP1 getestet. Zunächst haben wir die Rechner per Doppelklick auf den Wurm infiziert und anschließend mit einem Reinigungstool versucht, die Systeme wieder in Schuss zu bringen. Dabei prüften wir, ob die Wurm-Tasks geschlossen wurden (Speicher-Check), ob alle Wurm-Dateien entfernt und die Registry-Keys wieder gelöscht wurden.
