GVU Trojaner

Freitag abends (ich war irgendwo unterwegs) kam die E-Mail eines Kunden „Ich habe den GVU-Trojaner auf einem unserer Rechner. Den Rechner klemme ich vom Strom ab und warte bis Du kommst“. Prima!

Also Sonntag mal raus zum Objekt, in der Tasche eine frische Rescue-CD von Avira. Normalerweise kann man mit dieser CD ganz prima Rechner entseuchen: Von der CD booten und nach 2 Stunden ist das Gröbste erledigt.

Nicht in diesem Fall: Obwohl die Signaturen auf der CD gerade mal 1 Stunde alt waren, fand der Scanner nur die üblichen Fehlalarme in Java-Klassen. Also doch händisch ran.

Die Infektion fand am 05.07.2013 gegen 22:30 statt. Mit einem ordentlichen Kommandozeilentool (File Commander von Brian Havard) die Verzeichnisse „windows“ und „system32“ nach Datum sortiert und die Datei „boiu444eabf.exe“ gefunden. Kleiner Blick in die EXE-Datei: ist mit dem Windows Scripting zusammengebaut worden und erfasst verdächtig viele Daten vom System. Bingo – das ist unser Kandidat. Weggelöscht, dann mit „Autoruns“ dem Starteintrag Winlogon entfernt und neu gebootet.

Holla – da ist er ja wieder. Nochmal das Procedere von vorne und genauer hingeschaut: der Trojaner nistet sich auf eine charmant-altmodische Art noch im Autostart-Ordner des Benutzers ein und zieht sich aus dem %TEMP% Verzeichnis nach.

Diesmal richtig sauber gemacht, neu gebootet – weg ist er.

Danach noch die übliche Vorgehensweise: Prüfsummen der wichtigsten Windows-Bestandteile abgleichen und schauen, was sich da sonst noch eingenistet hat. Paar zweifelhafte Treiber abgeklemmt die schon seit Monaten auf dem Rechner ungenutzt herumliegen, mehr hab ich auch nicht gefunden.

Für Finanztransaktionen taugt der Rechner nix (dafür gibt es eh eine eigene Linux-Büchse), aber fürs Surfen langts wieder.

Das Absenden einer Email genügt nicht für den Nachweis des Zugangs

Gerade bei RA Thomas Will gesehen:

„Damit eine Email als zugegangen gelte, müsse Sie in der Mailbox des Empfängers oder des Providers abrufbar gespeichert werden. Derjenige, der sich auf den Zugang beruft, müsse diesen eben auch beweisen, was möglich sei durch eine Eingangs- oder Lesebestätigung. Es reiche nicht etwa, wie der Kläger das getan hatte, die Email ohne Eingangs- oder Lesebestätigung einfach nur auszudrucken.“

Neben der genannten Eingangs- oder Lesebestätigung ist auch ein Protokoll des Absende-Mailservers als Beweis möglich, wenn aus diesem Protokoll einwandfrei herausgeht, dass die E-Mail vom empfangenden Server entgegengenommen wurde und damit in den Verfügungsbereich des Empfängers gelangt ist.

Mail-Kunden der 20/1 GmbH können jederzeit und kostenlos von uns einen entsprechenden aussagekräftigen und „gerichtsfesten“ Auszug aus dem Logfile unserer Mailservers als Textdatei erhalten sofern das Ereignis nicht länger als 6 Tage zurückliegt.

Gegen eine Aufwandsentschädigung drucken wir den Logfileauszug aus, bestätigen die Richtigkeit mit Unterschrift und Firmenstempel und übersenden das Orginal plus die üblichen 4 beglaubigten Kopien per Post.

Soll ich immer patchen?

Gerade auf der Fachartikel-Seite der Kollegen von der QGroup gefunden:

Wenn ich also alles patche, bin ich immer sicher?
[…]Es ist zwar essenziell immer die neusten Updates und Patches zu installieren, die Realität zeigt aber, dass Hersteller oftmals mit der Behebung von Sicherheitslücken überfordert sind.

Nicht nur die Hersteller sind anscheinend überfordert, sondern auch der Verfasser des Artikels.

Denn unsere Praxis zeigt, dass gut 20% aller wohlmeinenden Updates der diversen Programme für den Betriebsablauf eher schädlich sind als dass sie Nutzen bringen. Für XP, Vista und Windows 7 habe ich eine lange Liste von Updates, die mit verschiedenen unternehmenskritischen Anwendungen kollidieren und ausserdem in einem sauber gepflegten Netzwerk eh nichts bringen würden.

Daher schalte ich bei vielen Rechnern erstmal die automatischen Windows-Updates ab und aktualisiere händisch Stück für Stück wenn die Simulation mit den Firmenanwendungen auf gleichem Stand hier in einer Virtuellen Maschine keine Probleme macht.

Wenn Kollegen blind empfehlen, jedes Update mitzunehmen verkaufen sie (das ist meine feste Überzeugung) auch immer ein Stück Risiko für den Kunden.

Updates sind Sache des zuständigen Administrators der die lokalen Gegebenheiten kennt und einschätzen kann, welches Fixpack eine Verbesserung oder eine erhöhte Sicherheit bietet. Wer Autoupdates ohne vorherige Prüfung durch seinen Admin zulässt muss damit rechnen, dass unvorhergesehene Seiteneffekte seinen Betrieb stören werden.

Ufff….

Nachdem es nicht mehr zu vermeiden war, hat ein Kunde meine Updates der letzten Monate auf einmal eingespielt. Klar ist jede Programmänderung ein Risiko für den laufenden Betrieb – aber dann knallt es wenigstens nur an einer Stelle.

Aber auch dieses Massenupdate haben wir gemeinsam gestemmt ehe dann die Kleinigkeit „Seriennummernerfassung“ hochgezogen wurde.

Es brauchte ja „nur“ 3 Lap/Netbooks mit Windows XP (weil die hochgezüchtete ERP-Software unter DOS läuft) als Scan-Stationen, über WLAN angebunden in einer riesigen Lagerhalle

Windows XP auf einem Thinkpad E135 ist völlig schmerzlos: die Treiber kann man sich bei Lenovo herunterladen und muss sie nur in ein XP SP3 integrieren was auf einem SP2 basiert und nach 4 Stunden merkt man, dass es nicht funktioniert weil der EHCI-Plattentreiber von Lenovo für XP einen Bug hat.

Ok – ich wollte das ja nur mal probieren und bin dann (nach 4 Stunden Zeitverlusst) den „offiziellen“ Weg gegangen: Debian 7 draufknallen, von Ubuntu die Sourcen für den WLAN-Chipsatz abholen und in den Kernel kompilieren, VirtualBox installieren und nach Max Inzinger „Ich habe da schon mal was vorbereitet“ die fertigen Windows XP-Images installiert und noch bisserl nachgepflegt – für 3 Netbooks halt. Das hat mich den Samstag gut auf Trab gehalten.

Sonntags beim Kunden war das alles erstmal OK, „leider“ hat das Intranet einen AD Controller und die Laptops mussten dazu erstmal in die Domain und zwar mit Userrechten, die nicht zu viel Schaden anrichten können.

Blöderweise verlangt das doofe Windows vor dem Domain-Logon ein „Ctrl+Alt+Del“, was aber das darunterliegende Linux für eigene Zwecke abfängt.

Via Mobiltelefon, Browser, Suche im Internet, Registryschlüssel gefunden. Laptop an Domain keine Rechte dafür, also alle wieder abmelden, lokal mit Adminrechten anmelden, patchen, wieder an der Domain anmelden – welcher Teufel hat mich geritten, die drei Stationen gleich in der Halle zu verteilen. An diesem Tag bin ich mehr gelaufen als ein Bundesliga-Schiedsrichter beim Fußball weil die Halle doch recht groß ist).

Jedenfalls rutschten dann die XP-in-Linux-Rechner beim Booten schmerzfrei in das Windows-Anmeldefenster wo man nur „Return“ hauen muss um angemeldet zu werden (das könnte man auch noch abstellen, aber dann wirds zu einem Umstand das Netbook wieder von der Domain loszueisen).

Nach 4 Stunden (die unter anderem auch damit verbracht wurden, in der Lagerhalle per Try&Error einen günstigen Platz für den WLAN-Acesspoint zu finden) konnte der erste Lieferschein und die zugehörigen Artikel gescannt werden. Nach paar Versuchen zeigte sich, dass die eine Scannerstation am anderen Ende des Universums vielleicht doch zu schwaches WLAN-Signal hat um geschwind arbeiten zu können.

Egal – da müssen wir jetzt durch (und ich hatte nach fast 10 Tagen Hardcoreprogrammierung 14 Stunden am Tag etwas die Faxen dicke).

Die Probleme am nächsten Tag (dort hatte noch nie jemand einen Scanner in der Hand gehalten) waren schnell umschifft denn meine Programmierung fängt alles ab was nicht richtig ist. Ärgerlich waren die sporadischen Abstürze die durch nichts und nirgends abfang- und damit auch nicht protokollierbar waren. Grober Verdacht: das WLAN ist nicht so stabil wie erhofft – also werden jetzt kurzfristig nochmal Ethernetstrippen gezogen.

Jetzt muss ich „nur“ noch den zugehörigen Report schreiben (incl. so Schweinereien „Wie war der Lagerbestand am Ende eines beliebigen Auswertungszeitraums“ unter der Randbedingung, dass bestimmte Artikel zwar fakturiert aber „damals“ aus verschiedenen Gründen (festgehalten in verschiedenen Datenbanken) noch nicht ausgeliefert waren und damit den fiktiven Lagerbestand zum Zeitpunkt „X“ erhöhen. Da noch die Seriennummern reinzufrickeln ist easy – aber insgesamt endlich mal was Spannendes 🙂