Ich habe das Teil dann mal analysiert und folgendes gefunden:

• Das Programm enthält eine ganze Menge unnützen Code zur Tarnung.
• Es lädt dann von www.ukseikatsu.com eine Datei namens /images/ok.exe nach und legt sie im Benutzerprofil unter einer zufälligen Nummer ab.
• Dieser Code entpackt dann eine weitere Datei namens winsvc.exe, die den eigentlichen Kern darstellt.
• winsvc.exe verbinedt sich zu 141.105.66.235 auf Port 5500. Das ist eigentlich der VNC-Port, deshalb interessiert das die meisten Personal Firewalls nicht. In Wirklichkeit lauscht da aber ein IRC-Server.
• Der IRC-Server ist die Kontrollzentrale eines Botnets, zu dem der Client dann gehört.

Um so einen Mist in Zukunft zu verhindern: Klickt in drei Teufels Namen nicht immer jeden Scheiß an!

Linux-User sind übrigens sicher.

Update: Abuse complaint an Rusconnect, den Provider bei dem der IRC-Server läuft, ist raus.

Update 2: Dominic hat auf meinen Auftrag hin eine ausführbare Version (in Tcl) gebaut. Wir haben den Wurm Paul getauft und paul-removal.exe sollte jetzt auch unter Windows Vista und Windows 7 funktionieren. Hier ist alles gesammelt.

Windows NT und Gentoo

Hier kompiliert Gentoo im Hitergrund einen Kernel und im Vordergrund installiert sich eine WIndows NT 4 Workstation. Davon hatte ich noch zwei Lizenzen rumliegen, also wieso nicht …

WIndows 7 und der Passwort-Wahn

Das Abenteuer mit Windows 7 fing damit an, erstmal den (erstaunlicherweise in Java verfassten) Download-Manager davon zu überzeugen, die Datei nach dem Download nicht sofort wieder zu löschen. DAs Gerät ist nämlich strikt davon überzeugt, dass der Download von der Microsoft-Website kaputt ist. Sehe ich ähnlich, aber aus anderen Gründen .

Das Ding scheint aber erstaunlich gut mit Linux umgehen zu können, denn selbst nach Umbenennen der Datei konnte es sie noch sauber löschen. Also habe ich einen Hardlink erstellt, den hat es dann nicht erwischt … Das ISO.Image ist übrigens vollkommen intakt.

Überraschung dann bei der Konfiguration des Systems: Windows empfiehlt mir zwar, ein Kennwort zu setzen, Pflicht ist das allerdings nicht. Der Kenworthinweis, eine der grottigsten Erfindungen des Jahrhunderts, ist allerdings unabdingbar notwendig. Damit ich nicht mal vergesse dass ich kein Kennwort habe, oder so ….

Windows 7 und Gentoo Netcat

Eigentlich habe ich die virtuellen Maschinen per NAT ans Internet gehangen, wobei VitualBox eigene Verbindungen aufbaut und jedes Gastsystem die Adresse 10.0.2.15 bekommt. Das ist für Vernetzung unter den Maschinen natürlich prinzipiell suboptimal, also habe ich pro Maschine noch ein zweites Interface für ein internes Netzwerk eingerichtet.

Hier sieht man eine netcat/telnet-Verbindung zwischen Gentoo Linux und Windows 7.

Telnet gibt es unter Windows 7 übrigens standardmäßig nicht, dafür gibt es einen Paketmanager auf der Kommandozeile. Mit

pkgmgr /iu:TelnetClient

lässt sich der Telnet client nachinstallieren.

ReactOS im Bluescreen

Wo ich nun einmal dabei war habe ich mir auch mal angesehen was aus ReactOS geworden ist (nebenbei läuft übrigens noch eine DVD, das kann Linux alles gleichzeitig …).

Und ich stellte fest, dass es wirklichimmer Windows-kompatibler wird …

Windows 7 bootet

Hier bootet Windows 7 im Vordergrund, im Hintergrund läuft mein Lieblings-Mediaplayer Songbird. Mit Compiz kann ich wie man sieht übrigens sogar durch die VM hindurchsehen …

Windows 7 transparent überlagert

… und das sogar im Vollbildmodus.

Windows 7

So sieht das Ganze übrigens im nicht-transparenten Vollbildmodus aus. WIndows 7 kann sich mit den Gast-Erweiterungen dynamisch an die Auflösung anpassen, so dass die Virtualisierung hier praktisch nicht mehr zu erkennen ist.

Ach übrigens, mein Crosscompiler mag immer noch nicht, aber Hauptsache ich hatte meinen Spaß …

Obwohl dieser Virus anscheinend keinen größeren Schaden anrichtet (er befällt auf infizierten Windows-Systemen alles .exe und .scr-Dateien und freut sich seines Lebens), haben wir eine Großkontrolle aller Systeme durchgeführt und Präventivmaßnahmen eingeführt.

Da sämtliche Rechenr bis auf wenige Ausnahmen mit Sheriff-Karten oder HDGUARD arbeiten, sehen wir den Virenschutz dieser Systeme nicht als maßgeblich an. Ein Virus kann das System zwar befallen, sollte nach dem Shutdown aber wieder Richtung /dev/null wandern. Andere Windows-Systeme im Netz haben keine Freigaben, nur der Server stellt Dateien bereit. Dass dies ein Fallstrick ist, haben wir übersehen – ein Virus kann Dateien auf diesen Shares infizieren und andere Systeme zur Laufzeit befallen.

Deshalb haben wir nach Vernichtung sämtlicher ausführbarer Dateien auf den Servershares alle Rechenr ohne Festplattenschutz mit einer minimalen Antivirus-Lösung in Form von AVIRA versehen. Die mit HDGUARD oder Sheriff-Karten ausgestatteten Rechner bleiben weiterhin ungeschützt, lediglich der Server wird mit einem Schutz versehen.

Mit Hilfe der Pakete squid-clamav und samba-vscan sollte wieder eine annehmbar sichere Situation geschaffen sein. Samba-Vscan muss unter Gentoo zwar per Hand gegen die Samba-Quellen kompiliert werden, aber danach läuft es einwandfrei. Und am Ende sieht das dann so aus:

Squid-ClamAV blockt den Download des Eicar-Testvirus

Samba-Vscan blockt den Zugriff auf den Eicar-Testvirus