Auf dem Laptop eines Kunden war über 90 Tage das Trojanisches Pferd TR/EyeStyle.C versteckt, ohne das der Virenscanner Alarm schlug.
Heute schildere ich euch mal wieder einen Fall aus der Praxis. Diesmal sollte ich auf dem Laptop eines Kunden iTunes installieren damit er Fotos etc. mit seinem Handy synchronisieren kann. Eigentlich keine große Sache: aktuelle Version von iTunes für Windows XP runterladen, installieren, fertig.
Windows Security Center gab ersten Hinweis
Während der Installation fiel mir das kleine Icon vom Windows Security Center (WSC) rechts-unten neben der Uhrzeit auf das anzeigt wird wenn etwas mit dem Virenscanner, der Firewall oder Windows Update nicht korrekt funktioniert. Genauer gesagt funktionierte laut WSC keines der drei Systeme. Ok, die automatischen Windows Updates haben wir standardmäßig deaktiviert weil ich gerne selber entscheide, was installiert wird und was nicht. Aber die Firewall und der Virenscanner sollten eigentlich schon funktionieren?!
Das Icon gleich daneben von unserem Virenscanner mit integrierter Firewall (Markenprodukt!) behauptete aber das Gegenteil, nämlich das beide Systeme korrekt arbeiten. Beim genaueren Hinschauen wurde mir angezeigt das der Virenscanner zum letzten Mal am 20.12.2011, also vor über drei Monaten, ein Update der Virendefinitionen gemacht hat. Das klingt im ersten Moment schlimm, kann bei diesem Kunden aber schon mal vorkommen wenn sein Laptop z.B. längere Zeit weder „am Netz“ hing noch Zugang zum Internet hatte. Der Kunde war viel im Außendienst unterwegs und somit machte mich das noch nicht stutzig. Zwei Klicks später zog das Antiviren-Programm sich sein Update von unserem Server und alles schien wieder in Ordnung.
Neuinstallationen machen Probleme
Dann war auch die Installation von iTunes fertig. Zwischenzeitlich erschienen dort unten zwei weitere Icons die mich darüber informierten, das Java und der Adobe Reader auch ein Update gebrauchen könnten. Also startete ich die entsprechenden Updates, der Mauszeiger verwandelte sich in eine Sanduhr was bedeuten müßte das die Updates laufen. Nach wenigen Sekunden verschwand die Sanduhr wieder, aber „gefühlt“ irgendwie viel zu früh. Es erschienen auch keine weiteren Fenster die im Verlauf solcher Updates normalerweise angezeigt werden. Nach einigen Minuten ohne Ergebnis schaute ich in den Taskmanager, der mir eine CPU-Auslastung von 1-2% anzeigte, was so viel bedeutet wie „ich bin fertig“.
Vielleicht war das zu viel auf einmal … ich starte die Kiste mal neu. Dabei hing sich der Laptop dann allerdings so auf, das nur noch ein Kaltstart half. Nach dem erneuten Hochfahren des Laptops fiel mir als Erstes wieder das Icon vom Windows Security Center auf, das immer noch einen Ausfall aller drei Systeme meldete. Da der Virenschutz dann doch wichtiger ist als Java oder der Adobe Reader deinstallierte ich das komplette Antiviren-Programm und installierte es neu. Zwei Neustarts und ein Update später war leider alles noch wie vorher: WSC sagt „nichts geht“, Virenscanner sagt „alles ok“.
Fehlerdiagnose ohne Ergebnis
Etwas verwundert ließ ich eine Datenträgerbereinigung, eine Defragmentierung und abschließend eine Fehlerdiagnose laufen, allerdings alles ohne besonderes Ergebnis. Da der Kunde wiederholt sagte das die wöchentlichen Virenscans problemlos verlaufen wären überprüfte ich als nächstes ob vielleicht Windows selbst ein paar Updates gebrauchen könnte. Also startete ich das Windows Update und mir wurden auch eine Reihe von „wichtigen Updates“ angezeigt.
Nach dem Download und der Installation der Updates und dem anschließenden obligatorischen Neustart des Laptops erschien rechts-unten ein Symbol, das ich noch nie gesehen hatte. Eines der installierten Updates war das „Windows-Tool zum Entfernen bösartiger Software“ und dieses Icon teilte mir mit, das eben dieses Windows-Tool das Trojanische Pferd TR/EyeStyle.C entfernt hatte. Nach einer kurzen Suche im Web wurde klar das es sich um einen Backdoor-Trojaner und Datensammler handelte und das es am sichersten wäre die Kiste platt zu machen. Also habe ich heute noch die wichtigsten Daten gesichert und morgen gibt’s ein frisches (und hoffentlich trojanerfreies) Windows XP.
Woher der Trojaner vermutlich kam
Nach Rücksprache mit dem Kunden kam heraus das er um den 20.12. herum dienstlich in China unterwegs war und sich von dort aus per Webmail-Zugang in die Firmenmails eingeloggt hatte. Nach einigen Tagen hätte der Webmail-Zugang aber plötzlich nicht mehr funktioniert so daß er über ein anderes Gerät weiter gemacht hätte. Keine Ahnung über welchen Internet-Zugang er das gemacht hat, aber dabei hat er sich wohl den Trojaner eingefangen.
Was mich dabei so fasziniert ist das der Trojaner offensichtlich seit diesem Zeitpunkt vor knapp drei Monaten auf dem Laptop aktiv war, ohne das er irgendwo irgendwie bemerkt wurde. Updates der Antiviren-Software wurden scheinbar korrekt alle fünf Stunden und die Virenscanns jeden Montag Mittag ausgeführt, aber das war vermutlich alles irgendwie gefälscht. Auch beim Anschluß an unser Netzwerk schlug keiner der Server Alarm und das obwohl alle Server die neusten Viren- und Windows-Updates haben. Ich schätze mal das liegt in erster Linie daran das wir noch ein Novell-Netzwerk haben, auf dem sich ein „Windows-Virus“ eben nicht so einfach ausbreiten kann. Na mal abwarten … wenn ich die nächsten Wochen nichts Neues mehr poste, habe ich mich vielleicht zu früh gefreut …