Expiro Trojaner - gesäubert oder nicht gesäubert? (Jemand mit Sandbox?)

[Smarty]

Moin,
mein "neuer" Laptop ist heute angekommen. Gebraucht, und Windows Updates liefen nicht (Service deaktiviert und ließ sich auch nicht aktivieren). Mir schwante Böses, also habe ich Windows neu installiert -- anhand der mitgelieferten, selbstgebrannten Windows-DVD. ...anhand der mitgelieferten, selbstgebrannten infizierten DVD...

Expiro heißt der Trojaner. Macht nichts richtig Böses (Bankdaten nordamerikanischer Bank-Websites abgreifen, aber nicht abschicken), aber er infiziert halt alle .exe-Dateien des Systems, deaktiviert Windows-Update usw.

Ich Depp habe, als plötzlich Windows Update wieder nicht ging, ein Update-Pack von meiner externen Festplatte installiert. In der Zeit, in der das Pack installiert wurde, wurden auch ungefähr 200 Exes auf der externen Platte infiziert, wie ich später rausgefunden habe. (Erst nach der Installation des Packs habe ich den Braten wieder gerochen und mal ein AV installiert...)

Die meisten der infizierten Dateien sind mir egal, das waren nur wiederbeschaffbare Installationsdateien. Ungefähr ein Dutzend aber sind unwiederbringlich.
- Avira kann nichts reparieren, nur löschen.
- Es gibt ein Reparaturtool speziell für Expiro von AVG. Das behauptet auch den Trojaner aus den Dateien entfernt zu haben, hinterher werden sie bei Virustotal aber immer noch von ~40/57 als infiziert erkannt. Inkl. AVG.
- Es gibt von keinem anderen AV-Hersteller ein Reparaturtool.
- Aber der Windows Defender bietet eine Reparatur ebenfalls an. Hinterher schlagen bei virustotal noch 12/57 an. Für Clean halten die Dateien hinterher z.B. Avira, ClamAV, Kaspersky, McAfee, Panda, Sophos und Symantec. Für immer noch mit Expiro infiziert halten es u.a. AVG, Bitdefender und F-Secure.

Kann mir jemand mit Sicherheit sagen, ob die harmlos sind? In eine Sandbox packen, ausführen, hinterher nochmal bei virustotal hochladen z.B.?
Danke für jede Hilfe!

 

[Sodom&Gomorrha]

Ob die anderen Dateien sauber sind, kann dir leider niemand sagen. Kann auch nur raten.
Hat das Reparaturtool einfach den Code nicht aus den Dateien bekommen, ohne diese komplett zu zerstören?
Sind in den noch befallenen Dateien nur noch die Code-Reste enthalten, wo die Virenscanner zwar aufgrund der Signaturen oder/und Heuristik anschlagen, aber nicht mehr ausgeführt werden können?

Ein Scan mit einem Live-Linux wäre eine Alternative. Auch wenn klar ist, dass es dann nur 1-2 Antivirenprogramme im Gegensatz zu den vielen auf Virustotal und Co. sind, die dann laufen und dass der im Linux-Betrieb ohnehin aktualisiert werden müsste vor dem Scan. Zumindest hätten dann Windows-Rootkits o. Ä. Nettigkeiten wenig Möglichkeiten, bestimmte infizierte Systemdateien zu verstecken. Brauchst also ggf. ein anderes Win 7-Installationsmedium (saubere DVD von anderem Rechner brennen. Virus: gg no re), falls ein zu aggressiv eingestellter Virenscanner sich an kritischen Dateien zu schaffen macht und Windows beim Neustart dann meckert oder einen BSoD produziert.

Die Idee mit der Sandbox ist imo nicht schlecht. Damit meinst du doch einfach nur eine VM, oder?
Du musst irgendwie dafür sorgen, dass

1.) die Malware die Sandbox nicht verlassen kann. Ergo Durchschleifen der Netzwerkverbindung zum Host und gemeinsam genutzte Ordner müssen unbedingt vorher ausgeschaltet sein. Das stand mal in einer älteren c't analog zum Weiterbetrieb von Windows XP auf modernen Systemen, um die Gefahr einer Infektion des Gastes und ggf. Host-Systems zu begrenzen.

2.) die VM selbst muss sauber sein. Müsstest also woanders die VM sowie das Gast-OS installieren, die Konfiguration sowie die Containerdatei auf den Laptop kopieren und dort ausführen. Ja, die könnnte dann *wieder* infiziert werden, schon klar. Aber es hilft ja nichts.
Hoffe mal, dass die generischen, virtuellen Komponenten von VMWare oder Virtual Box keine Schwierigkeiten beim Wechsel auf andere (reale) Hardware machen - da kenne ich mich leider zu wenig aus.

3.) die Malware nicht selbst merkt, dass sie nur in einer VM läuft. Den Malware-Codern würde ich nichtmal abstreiten, dass die durchaus in der Lage wären eine VM zu erkennen und die Funktion darin entweder einzustellen oder sich zu löschen. Was dir in dem Fall noch weniger hilft, wenn du nichts Verdächtiges bemerkst und die Malware dann fröhlich auf dem Host weiter Schabernack treibt.

Ergo: Probieren geht über Studieren. Achte nur drauf, dass dein(e) andere(n) Systeme sauber bleiben

 

[ROOT]

du hast aber auch ein glück mit deinen laptops scheinbar..

 

[reddy.LIKE]

Setz ne VM auf (vmware player gibbes privat für nada) und mach ne eigene Sandbox draus >> https://www.youtube.com/watch?v=AnHhTrY_ezM etwas älter aber so in die richtung gehts dann einfach le google is your friend wobei ich persönlich denke es reicht ne windows vm aufzusetzen und dann die datein via gemountetet usb in die vm bringen + zurück oder eben doch netztwerk aktivieren und aus der vm arbeiten, aber birgt das risiko, dass der trojaner im netzwerk wütet kommt halt auf den trojaner drauf an

>> https://my.vmware.com/de/web/vmware...mware_player/7_0|PLAYER-711|product_downloads

 

[Smarty]

Ja, wird dann wohl auf ne windows-vm auf nem linuxsystem rauslaufen. Boah mal sehen wann ich dafür Zeit finde.
Mich wundert die offensichtlich nicht vollständige Reparatur, weil der Expiro eigentlich nur ein bisschen Code in den Header zusätzlich schreibt ohne den Rest der Datei zu verändern. Zwar mit kleiner Zufallskomponente, aber eigentlich hätte ich gedacht, dass das problemlos rauszukriegen ist.

Root: Jo Und der Ebayverkäufer entschuldigt sich nichtmal dafür. Mal sehen ob ich ihm noch ne freundliche Wertminderung anbiete oder ihm direkt ne negative Bewertung reinhaue. Wäre die zweite in 17 Jahren ebay.