huhu,
auch wenn es sich schon rumgesprochen haben sollte, geht im moment ein wurm in den IM Netzen um der sich Stration.Gen oder ähnlich nennt (auch Warezov ist eine bezeichnung). Das ist diesmal kein blöder ICQ witz wie man ihn kennt, sondern eine reelle Bedrohung.
Wie fange ich mir den Wurm ein?
Das ist wohl das einfachste. Irgendwer aus deiner Kontaktliste (der schon infiziert ist) schickt dir einen "seltsamen" link mit "my Picture" o.ä. oder auch garkeiner "überschrift". Sobald du den link in deinem browser öffnest installiert sich der Wurm selbst per Javascript. Laut Antivirus-Software-Herstellern bekommst du eine "Update Sucessfully" meldung auf dem screen sobald du den virus hast, dies kann jedoch auch nicht geschehen, wie gesagt es gibt viele Varianten des Wurms.
Was macht der Wurm?
Stration liest vermutlich dein ICQ/MSN/Skype Passwort aus festplattenfiles der einzelnen clients aus, und verbindet sich dann mit deinem icq account, liest deine kontaktliste aus und beginnt an alle die du in deiner Liste hast die fraglichen links zu sich selbst zu schicken. Startion nutzt nicht den Client selber, wäre auch zu auffällig, wahrscheinlich nutzt er eine eigene minimale IM engine für die einzelnen dienste. Diese Vermutung kommt daher, das man sofern man Miranda mit Fingerprint Plugin hat, infizierte Nutzer sofort in der Liste erkennt, da in der Spalte "Client" ein Virus Symbol ist, sowie in den "Details" auch bei Client Version "Virus" zu sehen ist. Sollte der Virus den orginal client nutzen würde dieser auch im Fingerprint auftauchen. Schaden richtet Stration
noch nicht an, jedoch vermutet man das Stration ab und an "nachhause telefoniert" und sich dort mit modulen versorgt die durchaus schaden anrichten könnten. Stration kann aber im Reallife schaden anrichten, da ihr dann der böse seid der den Virus an alle verschickt hat.
Was kann ich gegen Stration tun?
Präventiv gilt:
Wie immer Umsicht. Öffnet keine Links in instant messengern, solange ihr keine klare deutliche deutsche antwort des senders bekommen habt was darin ist. Stration logt sich nur kurz ins Netz ein und verschwindet wieder, ausserdem spricht Stration englisch.
Zweite Präventivmaßnahme: Keinen Windows Live Messenger, ICQ oder Skype benutzen. Vermutlich benötigt Stration nämlich die zumeist in Klartext gespeicherten Daten der Orginalclients und kann mit den Daten von Miranda, Trillian und co. nichts anfangen. Jedoch schützt euch das nur davor das Stration sich von euch aus verbreitet, vor infektion schützt es nicht. Womit wir zur zweiten Maßnahme kommen...
... Automatische Anmeldung deaktivieren. Gebt lieber immer das Passwort ein, da Stration und andere Würmer die gespeicherten Passwörter auf dem PC relativ leicht auslesen können.
Last But not Least: Javascript deaktivieren, und nur aktivieren wo benötigt wird. Ja ich weiss das ist zum kotzen da durch das aufkommen von AJAX sehr viele Websites javascript wollen. Jedoch ist Javascript immer noch ein Risikofaktor.
Was wenn ich den Wurm schon habe? Wie werde ich ihn los?
Nun wirds kompliziert. Es gibt mehrere Möglichkeiten den Wurm loszuwerden. Sofern ihr einen Antivirenscanner habt wird dieser sich melden wenn Stration aktiv wird.
Bitte Dateinamen und speicherort notieren! Ihr könnt ihn in Quarantäne verschieben oder löschen, nur nützt dies oft nicht viel. Auch Personal Firewalls wie Zone Alarm dürften sich melden wenn Stration aktiv wird, die verbindung ist auf jeden fall zu blocken.
Der Windows Weg
Unter Windows solltet ihr euch als allererstes das Tool
Hijackthis herunterladen. Und logfile
hier auswerten lassen.
Alles was die als kritisch einstufen fixen. Dann solltet ihr in den Abgesicherten Modus von Windows booten (F8 beim booten drücken, bitte ohne netzwerktreiber) und dort die vom Virenscanner beanstandete Datei löschen (die ihr euch ja notiert habt -hint-). Wichtig ist, das ihr sobald was gefunden wurde das Netzwerkkabel zieht, den logfile nach möglichkeit auf einem anderen pc mit internetzugriff auswerten lasst und die software dort downloaded.
Auch die Anti-Malware Utilities
Ewido und
a² sollen gegen den Wurm erfolgreich helfen. Jedoch verlangsamt alles euren rechner, deswegen nicht mit security Tools zumüllen. Generell hilfreich sind immer AntiVir (oder ähnlicher scanner) und Spybot S&D. Diese sind recht zuverlässig und reichen vollkommen aus. Auch hier generell: Ein Anti-Virenscanner mit aktuellen Definitionen ist immer euer Freund.
Da der Wurm viele Varianten hat, und wie gesagt nachhause telefoniert, kann ich nicht genau sagen WELCHE Datei es nun ist, die dateien variieren.
Der Linux Weg
Ausser Weg 3 (gleich gleich) ist dieser hier der "sicherste". Ladet euch eine
Ubuntu oder
Knoppix Live CD herunter und brennt diese mit einem herkömmlichen Brenntool wie
Nero. Anschliessend legt ihr die CD in euer CD/DVD-Laufwerk ein und startet den Rechner neu. Hierbei ist wichtig das das BIOS zuerst nach CD Medien zum Booten sucht. Wie ihr das im BIOS einstellt ist Mainboard und BIOS spezifisch, hierzu kann man google befragen. Ist die Live CD gebootet geht ihr ins Terminal von Knoppix oder Ubuntu. Normalerweise sind eure NTFS Partitionen automatisch gemounted und ihr könnt drauf zugreifen. Dies macht ihr so:
Terminal öffnen, folgendes eintippen:
lasst euch per "dir"-befehl ausgeben welche unterordner sich in dem verzeichnis befinden und wechselt nach und nach in jeden ordner und schaut welches die Partition ist auf der sich die Datei befindet die ihr notiert habt. (Linux kennt keine Laufwerksbuchstaben)
anschliessend wechselt ihr in das verzeichnis (wieder befehl "cd") in der sich die vom Virenscanner beanstandete datei befindet. anschliessend gebt ihr
ein, wobei $dateiname für den dateinamen der infizierten datei steht. Dies können auch mehrere sein.
Warnung: Mit den Live-CD's könnt ihr viel kaputt machen wenn ihr die falschen daten löscht, generell verändert eine Live CD nichts am system, jedoch ist es ratsam erstmal hier nachzufragen ob man die datei einfach so löschen kann ohne etwas am system zu zerstören!
Sind die dateien erfolgreicht gelöscht, fahrt den rechner herunter, entfernt die cd aus dem laufwerk und geht wieder ins Windows. Scannt erneut mit einem Virenscanner, sofern kein fund kommt habt ihr es geschafft und der Virus ist entfernt.
Der ultimative Weg
Festplatten formatieren, Windows neu installieren. Funktioniert meistens.
Stration/Warezov verbreiten sich über alle IM Dienste sowie Emails, wenn ihr die einfachsten sicherheitsregeln beachtet könnt ihr euch gegen 99% aller bedrohungen schützen, dazu gehört auch, nicht alles anzuklicken oder zu öffnen was euch vor die Flinte kommt. Die größte Sicherheitslücke ist immer der User.
Ich hoffe dieses "Tutorial" hilft ein paar Leuten die bedrohung zu entfernen oder zu vermeiden.
Bei Fragen darf hier liebend gern gepostet werden.
Um die Frage zu beantworten warum ich das hier geschrieben habe: Ich krieg schon seit einem halben jahr über msn und co diese doofen links, und es hört nicht auf, mindestens einmal wöchentlich von irgendwem aus meiner kontaktliste, ebenso von PPlern (huhu körnchen :>). Obwohl der Wurm schon alt ist, verbreitet er sich stetig weiter. Deswegen diese Anleitung. Sollte was falsch sein, posten.
Wichtiger Edit: Ändert UNBEDINGT eure IM Passwörter wenn ihr den Wurm entfernt habt!
[Wichtig] Worm/Stration.XX oder Warezov infiziert eure IM's 
ich muss sagen toll aufgearbeitet herr kollege. ich denke das tut wird dem ein oder anderen helfen, nicht nur bei einer aktuellen bedrohung.
danke
