Sophos Anti-Virus für Windows: Bereinigung von Dateiinfektoren – Sality/Scribble/Virut/Vetor

Problem
PE-Dateiinfektoren gehören zu den schädlichsten Viren. Eine Kopie des Virus wird an eine ausführbare Datei auf dem Computer und/oder eine Remote-Quelle angehängt.

Die Viren lassen sich mitunter nur sehr schwer bereinigen. Verfahren Sie wie folgt.

Sophos Produkt und Version
Sophos Anti-Virus for Windows 2000+ Sophos Anti-Virus for Windows 95/98

Betriebssystem
Windows

Technischer Hintergrund
Wie bereits erwähnt, fügen PE-Infektor-Viren eine Kopie des Virus zu ausführbaren Dateien hinzu (einschließlich ".exe"- und ".scr"-Dateien). Wenn ein Computer infiziert wird, kann sich der Virus schnell auf andere Computer übertragen. Je mehr Computer betroffen sind, desto schwieriger lässt sich der Virus entfernen.

In der Regel wird ein ungeschützter Computer mit dem Virus infiziert. Wenn die infizierten Dateien ausgeführt werden, laufen Sie im Speicher und der Virus ebenfalls. Wenn der Virus auf weitere ausführbare Dateien auf dem Computer stößt, werden diese ebenfalls infiziert.

Hinweis: Wenn kein Schreibzugriff auf die ausführbaren Dateien vorhanden ist, werden sie nicht infiziert.

In vielen großen Netzwerken werden manche Anwendungen direkt auf den Dateiservern ausgeführt. Wenn ein infizierter Computer (Computer-Null) versucht, die Remote-Dateien auszuführen, werden sie infiziert. Wenn ein virenfreier Computer (Computer-Eins) nun diese Datei ausführt, kann die Datei alle Dateien auf Computer-Eins infizieren sowie sämtliche Remote-Dateien, mit denen Computer-Eins in Berührung kommt

In Großnetzwerken breitet sich der Virus also sehr schnell aus. Auch Wechselmedien werden infiziert, wenn sie an einen Computer angeschlossen werden, auf dem der Viruscode ausgeführt wird.

Häufigste Threats:

• W32/Sality-AM
  http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityam.html
• W32/Scribble-A
  http://www.sophos.com/security/analyses/viruses-and-spyware/w32scribblea.html
• W32/Virut-W
  http://www.sophos.com/security/analyses/viruses-and-spyware/w32virutw.html
• W32/Vetor-A
  http://www.sophos.com/security/analyses/viruses-and-spyware/w32vetora.html

Vorgehensweise

1. Wie weit ist die Infektion fortgeschritten?
Wenn Sie mit Enterprise Console oder Sophos Control Center arbeiten, können Sie Infektionsreports der verwalteten Computer erstellen. Wenn ein Computer nicht mit Enterprise Console/Control Center geschützt/verwaltet wird, können Sie den Status nicht abrufen. Es ist daher äußerst wichtig, dass die Computer geschützt und überwacht werden.

2. Computer in Quarantäne
Mit PE-Infektor befallene Computer sollten umgehend vom Netzwerk abgetrennt werden, um weitere Schäden zu vermeiden. Gleiches gilt für Server, da sich viele Clients mit Servern verbinden und daher gefährdet sind.

3. Wie sind die Computer infiziert?
Hinweis: Dateiinfektoren infizieren Dateien. Die Dateien müssen also desinfiziert, nicht jedoch entfernt bzw. gelöscht werden.

Im Allgemeinen lassen sich die drei folgenden Infektionsgrade unterscheiden:

a) Infizierte Dateien wurden erkannt und in der Konsole gemeldet. Beim Scannen werden jedoch keine infizierten Dateien gefunden: siehe 4a.

b) Einige Anwendungsdateien wurden infiziert, das Betriebssystem oder Sophos Anti-Virus (SAV) ist jedoch nicht von der Infektion betroffen: siehe 4b.

c) Der Computer ist vollständig infiziert, Dateien des Betriebssystems und von Sophos Anti-Virus sind betroffen: 5a.

4. Bereinigen von Computern aus Szenario 3a und 3b
Hierbei ist der Infektionsgrad ausschlaggebend (siehe Schritt 3 oben).
Melden Sie sich auf dem/den infizierten Computer(n) an. Trennen Sie die Computer vom Netzwerk ab, bevor Sie mit der Problembehebung beginnen:

a) Wahrscheinlich hat der Computer versucht, auf eine infizierte Remote-Datei oder eine infizierte Datei auf einem Wechselmedium zuzugreifen. Der On-Access-Scanner hat jedoch den Zugriff auf die infizierten Dateien verweigert. Öffnen Sie Sophos Anti-Virus und scannen Sie den Computer, um sicherzustellen, dass er virenfrei ist.

b) Öffnen Sie Sophos Anti-Virus und löschen Sie die Quarantäne-Liste (wählen Sie "Alle" > "Entfernen" > "Ja").
Klicken Sie auf die Schaltfläche "Start" und "Computer scannen".
Rufen Sie nach Abschluss des Scanvorgangs den Quarantäne-Manager auf und klicken Sie neben den erkannten Dateien auf "Bereinigung".
Unter Umständen kann die Bereinigung erst nach einem Neustart des Computer abgeschlossen werden.

5. Bereinigen von Computern aus Szenario 3c
Mit "SAV32CLI" können Sie die Dateien im abgesicherten Modus desinfizieren. Da im abgesicherten Modus weniger System- und Anwendungsdateien ausgeführt werden, lassen sich die Dateien einfacher bereinigen.

Anweisungen zum Erstellen der "SAV32CLI"-CD entnehmen Sie bitte folgendem Artikel: Entfernen schädlicher Dateien mit SAV32CLI.. Sie müssen den Scan wie folgt leicht anpassen:

Legen Sie die erstellte CD in das CD-Laufwerk ein (hier D:).

• Geben Sie in die Eingabeaufforderung
  D:
  ein, um auf das CD-Laufwerk zuzugreifen.
• Geben Sie Folgendes ein:
CD SAV32CLI
, um in das SAV32CLI-Verzeichnis zu wechseln.
  
• Geben Sie anschließend Folgendes ein:
  SAV32CLI -P=C:\LOGFILE.TXT
  um die infizierten Prozesse aufzulisten und ein Scan-Protokoll Hauptverzeichnis von Laufwerk C: zu erstellen.
  
  (Sie können "-EXCLUDE *" zum Scan hinzufügen, wenn Dateien vom Scan ausgeschlossen werden sollen. Die Scandauer wird so beträchtlich verkürzt).
  
• Drücken Sie auf "Y", wenn Sie gefragt werden, ob Sie die Dateien desinfizieren möchten.

Wenn "SAV32CLI" auf eine infizierte Datei stößt, die weiterhin ausgeführt wird, wird etwa Folgendes ausgegeben:

>>> Virus 'W32/Vetor-A' in Datei C:\Windows\explorer.exe:pid:000014e8:file
>>> Virus 'W32/Vetor-A' in Datei C:\Windows\explorer.exe
>>> Virus 'W32/Vetor-A' in Datei C:\Windows\explorer.exe:pid:000014e8\FILE:0000

Öffnen Sie den Task Manager oder Prozess-Explorer und beenden Sie alle laufenden Prozesse, die in den SAV32CLI-Scanergebnissen aufgeführt werden. Wenn Sie die laufenden Prozesse geschlossen haben, müssen Sie den Scan erneut mit den folgenden Einstellungen starten: SAV32CLI kann Dateien desinfizieren, die zuvor gesperrt waren.

• SAV32CLI -DI -P=C:\LOGFILE2.TXT

Sie sollten den Scan auf dem Computer wiederholen, bis keine Infektionen mehr gefunden werden. Wenn Kern-Systemdateien (d.h. Dateien, die nicht einfach beendet werden können, z.B. "services.exe") infiziert sind, sollten Sie diese mit der Wiederherstellungskonsole von Windows und einer Betriebssystem-CD wiederherstellen, da sie diese Dateien nicht im abgesicherten Modus mit "SAV32CLI" desinfizieren können.

Dateiinfektoren infizieren Dateien und beschädigen sie so, dass sie auch nach der Bereinigung noch ausgeführt werden können. Dateien, die nach der Desinfizierung noch vorhanden sind, sollten durch virenfreie Kopien ersetzt werden.

Wenn bei der Durchführung dieser Anweisungen Probleme auftreten oder Sie zu viele Dateien ersetzen müssen, wenden Sie sich bitte an den technischen Support von Sophos und fügen Sie eine Kopie der vom "SAV32CLI"-Scanner erstellten Datei "LOGFILE2.TXT" bei.

6. Erneutes Anschließen der Computer Schließen Sie nur Computer wieder an das Netzwerk an, die vollständig bereinigt wurden, da ansonsten erneut eine Infektion auftreten und ausbreiten kann.

Hinweis zu Wechselmedien
Wechselmedien sind für diese Virenart äußerst anfällig. Es wird daher dringend zu Vorsicht geraten, um zu vermeiden, dass die Viren über solche Geräte erneut ins Netzwerk gelangen. Wenn der On-Access-Scanner von Sophos aktiv und auf "Beim Lesen" eingestellt ist, werden solche Dateien nicht ausgeführt. Wenn jedoch ein Gerät an einen nicht-geschützten Computer angeschlossen wird, kann die Infektion erneut auftreten.

Stellen Sie sicher, dass alle Wechselmedien erst nach vollständiger Bereinigung wieder eingesetzt werden. Es empfiehlt sich, eine Richtlinie zu erstellen, die dafür sorgt, dass alle Medien vor dem Einsatz auf Computern geprüft werden - dies kann etwa von einem mit Sophos geschützten Linux- oder Mac-Computer oder auch einem isolierten Windows-Computer erfolgen.

Lizenzinhaber von Sophos Endpoint Security and Control können den Einsatz von Wechselmedien mit Device Control steuern. Nähere Informationen hierzu entnehmen Sie bitte dem Begleitmaterial zu Endpoint Security and Control - Device Control.