Scareware-Befall

22/07/2010 - 10:32 von Michael Paul | Report spam
Hallo,

im Bekanntenkreis hat es die halbwüchsige Tochter des Hauses
"geschafft", einen dieser Fake-Virenscanner namens "Security Tool" zu
installieren.
System ist ein XP Home SP3 auf aktuellem Patchstand, und es wird ein
Account mit eingeschrànkten Benutzerrechten verwendet.

Dieses "Security Tool"-Ding wurde in "All Users" installiert und
mittlerweile entsorgt, allerdings fand ich im eigentlichen Userprofil
weitere - möglicherweise nachgeladene - Malwarekomponenten, die laut
jotti.org ebenfalls der Kategorie "Fake.AV" zuzuordnen sind.

Diverse Beschreibungen von "Security Tool" erwàhnen auch Verànderungen
der Hosts-Datei sowie diverser Registry-Schlüssel. Aufgrund der
Verwendung eines Nicht-Administrativen Benutzerkontos sind diese
Verànderungen nicht auf dem System vorhanden.

Autostart-Eintràge der Malware (die u.a. auch den Taskplaner zu nutzen
scheint) waren nur für das Benutzerprofil zu entdecken.

Meiner Auffassung nach sollte es doch ausreichend sein, das befallene
Benutzerprofil zu löschen, um die Kiste wieder sauber zu kriegen,
oder?

Danke schonmal,
Michael

P.S.: Ich weiß, mit SAFER wàre das nicht passiert. ;-)
 

Lesen sie die antworten

#1 Thomas Dreher
22/07/2010 - 13:05 | Warnen spam
Am 22.07.2010 10:32, schrieb Michael Paul:
Hallo,

im Bekanntenkreis hat es die halbwüchsige Tochter des Hauses
"geschafft", einen dieser Fake-Virenscanner namens "Security Tool" zu
installieren.
System ist ein XP Home SP3 auf aktuellem Patchstand, und es wird ein
Account mit eingeschrànkten Benutzerrechten verwendet.

Dieses "Security Tool"-Ding wurde in "All Users" installiert und
mittlerweile entsorgt, allerdings fand ich im eigentlichen Userprofil
weitere - möglicherweise nachgeladene - Malwarekomponenten, die laut
jotti.org ebenfalls der Kategorie "Fake.AV" zuzuordnen sind.

Diverse Beschreibungen von "Security Tool" erwàhnen auch Verànderungen
der Hosts-Datei sowie diverser Registry-Schlüssel. Aufgrund der
Verwendung eines Nicht-Administrativen Benutzerkontos sind diese
Verànderungen nicht auf dem System vorhanden.

Autostart-Eintràge der Malware (die u.a. auch den Taskplaner zu nutzen
scheint) waren nur für das Benutzerprofil zu entdecken.

Meiner Auffassung nach sollte es doch ausreichend sein, das befallene
Benutzerprofil zu löschen, um die Kiste wieder sauber zu kriegen,
oder?



Sofern keine Privilege-escalation stattgefunden hat, ja. Aber das
auszuschließen dürfte sich als schwierig erweisen. Ich bin in Sachen
Windows nicht wirklich so fit, aber User, die die Hosts und
Registry-Schlüssel àndern können, sind mir nicht geheuer. War das ein
"Hauptbenutzer"-Account?


Gruß

Thomas

Ähnliche fragen