Torpig (basierend auf Mebroot) finden und entfernen

Torpig ist ein Rootkit, das sich mittels “Drive-by-Exploit” verbreitet. Dieser Schädling (auch bekannt als Sinowal) schneidet alle Eingaben des Benutzers mit und versucht dabei gezielt, Log-in-Versuche über Webformulare, Kreditkartennummern und Accounts für Onlinebanking und Kreditkarten zu finden. Seine Daten übermittelt das Programm dann an einen der sogenannten “Command & Control Server”, die jedes Botnetz steuern.

Sollten Sie von Ihrem Provider oder Ihrer Hausbank eine Nachricht zu einem Hinweis auf eine Torpig-Infektion erhalten haben, dann halten Sie bitte nachfolgenden Ablauf in jedem Fall ein:

  1. Bewahren Sie Ruhe!
  2. Ändern Sie sämtliche Kennwörter zu Ihren wichtigsten Online-Zugängen (E-Mail-Postfächer, Online-Banking, eBay, PayPal, etc.) von einem anderem Rechner aus!
  3. Legen Sie die Windows XP Installations-CD-ROM in das Laufwerk und booten Sie das System davon
  4. Drücken Sie “R” wenn der “Willkommen zum Setup-Assistenten”-Bildschirm kommt
  5. Wählen Sie die entsprechende Windows-Instanz aus um diese in der Recovery Console zu starten
  6. Geben Sie das Administrator-Passwort ein und bestätigen Sie die Eingabe mit der Enter-Taste
  7. Geben Sie “fixmbr” ein und drücken Sie die Enter-Taste. Folgen Sie der Anleitung auf dem Bildschirm.
  8. Legen Sie nun die DE-Cleaner Rettungssystem CD in das Laufwerk Ihres Systems und beenden Sie die Wiederherstellungs-Konsole durch Eingabe des Befehls “Exit”.
  9. Führen Sie einen vollständigen Scan Ihres Rechners durch.
  10. Ändern Sie Ihre Kennwörter erneut!

WICHTIGER HINWEIS: Da sich Torpig sehr tief in das System einnistet, sollten Sie in jedem Fall eine Neu-Installation Ihres Rechners in Betracht ziehen.

Sollten Sie Unterstützung hierbei benötigen, helfen wir Ihnen gerne auch telefonisch weiter. Unsere Rufnummer und einen kostenfreien Beratungsgutschein erhalten Sie bei Ihrem Provider! Alternativ dazu: Gerne können Sie Ihre Fragen auch in unserem Hilfe-Forum stellen!

Was ist ein Drive-by-Exploit?

Hierbei werden von Angreifern gezielt Webseiten ohne Wissen der Betreiber manipuliert. Danach genügt allein der bloße Aufruf einer solchen Webseite auch ohne irgendwelche Aktionen seitens des Benutzers, damit sich dadurch die Schadsoftware automatisch (und unbemerkt) auf seinen Computer herunterlädt.

Tipps der Experten des Anti-Botnet-Beratungszentrums:

Wenn Sie sich vor ungewollten Drive-by-Downloads schützen wollen, sollten Sie immer die aktuellen Versionen Ihres Browsers verwenden, sowie Plugins wie den Flash Player, oder den Adobe Reader immer auf dem neuesten Stand halten.  Eine weitere Maßnahme besteht in Browser-Plugins, die Skripte jeweils nur nach Freigabe durch den Anwender zulassen, etwa NoScript oder FlashBlock für Firefox. 

2 thoughts on “Torpig (basierend auf Mebroot) finden und entfernen”

  1. Leider muss ich auch diesen Beitrag kritisieren.

    1) Die Methodik eines solchen Angriffs ist mehr als vier Jahre bekannt. Aus 2009 stammt die Veröffentlichung http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf, in der das Verhalten und die Konstruktion von Torpig beschrieben wurden. Wie wir sehen, werden auch Systeme mit aktueller Software kompromittiert.

    Weder die allgemeine Empfehlung, sein System aktuell zu halten, noch AV-/AM-Software halfen effektiv, einer Kompromittierung durch Torpig vorzubeugen.

    2) Wir wissen, dass auch diese Klasse von Schadsoftware Rootkit-Techniken benutzt. Woher weiß man, dass dieser Infektion keine weitere Schadsoftware huckepack aufgeladen wird? Wäre eigentlich üblich. Wir sollten nicht annehmen, dass die Schadsoftware soweit vertrauenswürdig ist, dass wir ihr Verhalten zuverlässig vorhersagen könnten.
    Ich erwarte, dass jedes System mit Torpig unrettbar kompromittiert ist. Dementsprechend würde ich stets ein System neu aufsetzen, auf einer neuen oder physisch gelöschten Festplatte.

    3) In diesem Beitrag wurde nicht angegeben, dass die Kennwörter NICHT über das kompromittierte System, sondern nur über ein vertrauenswürdiges geändert werden dürfen. Ansonsten schneidet die Schadsoftware die geänderten Kennworte genauso mit wie die anderen auch.

    4) Ich kann mir vorstellen, dass man einen vertrauenswürdigen Zugang zum öffentlichen IP-Netz leicht über eine der vielen Life-CDs herstellen kann. Sei es Knoppix, PC-BSD oder was auch immer.

    Gruß, adamsh

    1. Hallo Hans Adams,

      Du hast vollkommen recht.
      Das ändern der Kennwörter von einem anderem System aus…, wurde im Beitrag ergänzt.

      Gruß ABBZ

Kommentare sind geschlossen.