H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de
Virenbeschreibung

av_shad.gif (1951 Byte)
 

SubSeven Version 2.13 alias Zeckentod.exe

Ein neuerer Fall geisterte als „Zeckentod“ durch die Presse. Eine Server-Datei des Spionageprogrammes SubSeven wird unter dem Namen „Zeckentod.exe“ verbreitet. Mit Hilfe dieser Datei können Daten unverlangterweise ins Internet verschickt werden.

Einer Email mit dem Betreff „Zeckentod - das Programm zum Abschießen "linker" Homepages“ ist ein Attachment beigefügt. Das Attachment selbst ist diese Serverdatei. Die Email wurde von dem Absender SaargauKameraden@hotmail.com verschickt.

Dieses Backdoorprogramm kann von AntiVir aufgespürt und entfernt werden. Es existiert auch eine defekte Version dieser Serverdatei. Sie ist nur 220409 Bytes groß, diese 220409 Bytes sind allerdings mit dem Original identisch. Bei der „zu kurzen“ Datei kommt eine Meldungsbox (wohl vom UPX-Entpacker) mit der Titelleiste "Error starting program" und dem Inhalt "filename.exe file appears to be corrupt. Reinstall the file and then try again". Nach Betätigen der OK-Taste kommt eine Windows-Meldung "Windows cannot run this program because it is in an invalid format" bzw. dessen deutsches Äquivalent. Diese zu kurze Datei wird also nicht richtig ausgeführt.

Bei einer Infektion mit dieser SubSeven-Variante wird eine Datei mit einem zufällig gewähltem Dateinamen im Windows-Verzeichnis erzeugt. Hinter diesem Namen verbirgt sich der Server des Spionageprogrammes. Dieses Serverprogramm lässt sich nicht mehr einfach löschen, da sonst keine Anwendungen (*.exe) mehr ausgeführt werden können. Nach Löschen des Servers lässt sich ggf. auch Windows nicht mehr vollständig starten. Deshalb gestaltet sich die Entfernung des SubSeven etwas schwieriger, sofern AntiVir diesen nicht schon beim Systemcheck eliminiert und in der Registry aufgeräumt hat.


Entfernung:

Notieren Sie bitte zuerst die entsprechenden Einträge (mit dem Key WinLoader) in der Registry unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

In beide Äste trägt sich der Server unter dem Key „WinLoader“ ein. Bitte notieren Sie sich den auf den Key „WinLoader“ folgenden Dateinamen und entfernen Sie diese Einträge. Ebenso die Einträge in der Win.ini unter "load=" oder "run=" sowie in der System.ini hinter shell=Explorer.exe. Auch hier ist der gesuchte Dateiname der auf den Key „WinLoader“ in der Registry folgende Dateiname. Entfernen Sie dann diese Einträge.

Jetzt muss noch folgender Eintrag in der Registry kontrolliert werden:

HKEY_CLASSES_ROOT\exefile\shell\open\command

Der Wert sollte "%1" %* (Standardwert) sein. Ist davor noch ein Eintrag mit dem auf den Key „WinLoader“ in der Registry folgenden Dateinamen, dann notieren Sie den Dateinamen und setzen den Eintrag auf den Standardwert "%1" %* zurück.

Starten Sie danach Windows neu und löschen im Windows-Verzeichnis die notierte Datei (der auf den Key „WinLoader“ in der Registry folgende Dateiname). Zum Schluss muss noch der Server (die Datei mit dem notierten Dateinamen) aus dem Windows-Verzeichnis gelöscht werden.

 

  weitere Virenbeschreibungen
  Virenkunde