SpyEye (Malware-Toolkit) finden und entfernen

Das trojanische Pferd SpyEye (ein RootKit aus Russland) verbreitet sich hauptsächlich über sogenannte Drive-by-Exploits (teilweise über Spam-Emails und soziale Netzwerke beworben), aber auch durch Weitergabe über einen “infizierten” USB-Stick.

Der modular aufgebaute Schädling ist sehr facetten-reich: Neben dem Diebstahl von Zugangsdaten zu Online-Banking-Accounts und dem Abgreifen von Kreditkarteninformationen, dem Diebstahl digitaler Zertifikate, sind kriminelle Dritte nicht nur in der Lage mit der Crimeware im Sekundentakt ScreenShoots anzufertigen und an ihren “Master” zu übermitteln, sondern lassen den Zombie-Rechner so auch zum Proxy oder Soldaten für DDoS-Attacken mutieren.

Bei Letzteren kann in Einzelfällen das eigentliche Opfer zum vermeintlichen Täter werden und so unbewußt in den Fokus polizeilicher Ermittlungen geraten.

Was soll ich tun, wenn ich eine Nachricht erhalten haben, dass Zugangsdaten über SpyEye ausgespäht wurden?

  1. Bewahren Sie Ruhe!
  2. Ändern Sie sämtliche Kennwörter zu Ihren wichtigsten Online-Zugängen (E-Mail-Postfächer, Online-Banking, eBay, PayPal, etc.).
  3. Laden Sie sich das Tool Neubers Security-Task Manager herunter und legen Sie dieses an einem leicht für Sie auffindbaren Ort ab (z.B. auf einem USB-Stick)  und kappen Sie daraufhin die Internetverbindung.
  4. Booten Sie Ihren Rechner in den abgesicherten Modus ohne Netzwerkverbindung (drücken Sie dazu nach dem Neustart “F5”) und loggen Sie sich als Administrator ein.
  5. Führen Sie einen Scan mit der zuvor heruntergeladenen Software durch und entfernen Sie den Schädling.
  6. Booten Sie Ihr System normal und stellen Sie die Internetverbindung wieder her.
  7. Führen Sie daraufhin einen weiteren Scan mit einem DE-Cleaner durch, um zu überprüfen ob Ihr Rechner nicht noch weitere Schädlinge an Board hat.
  8. Ändern Sie die Passwörter erneut!

WICHTIGER HINWEIS: Da sich SpyEye sehr tief in das System einnistet, sollten Sie in jedem Fall eine Neu-Installation Ihres Rechners in Betracht ziehen.

Sollten Sie Unterstützung hierbei benötigen, helfen wir Ihnen gerne auch telefonisch weiter. Unsere Rufnummer und einen kostenfreien Beratungsgutschein erhalten Sie bei Ihrem Provider oder Ihrer Hausbank!

Was ist ein Drive-by-Exploit?

Hierbei werden von Angreifern gezielt Webseiten ohne Wissen der Betreiber manipuliert. Danach genügt allein der bloße Aufruf einer solchen Webseite auch ohne irgendwelche Aktionen seitens des Benutzers, damit sich dadurch die Schadsoftware automatisch (und unbemerkt) auf seinen Computer herunterlädt.

Tipps der Experten des Anti-Botnet-Beratungszentrums:

Wenn Sie sich vor ungewollten Drive-by-Downloads schützen wollen, sollten Sie immer die aktuellen Versionen Ihres Browsers verwenden, sowie Plugins wie den Flash Player, oder den Adobe Reader immer auf dem neuesten Stand halten.  Eine weitere Maßnahme besteht in Browser-Plugins, die Skripte jeweils nur nach Freigabe durch den Anwender zulassen, etwa NoScript oder FlashBlock für Firefox. 

8 thoughts on “SpyEye (Malware-Toolkit) finden und entfernen”

  1. hi, sorry dieser artikel macht überhaupt keinen sinn.

    2. Ändern Sie sämtliche Kennwörter zu Ihren wichtigsten Online-Zugängen (E-Mail-Postfächer, Online-Banking, eBay, PayPal, etc.)
    wieso sollte man das am anfang tun.
    bei aktivem trojaner macht das keinen sinn.
    3. Laden Sie sich eines der Tools
    gmer… mit gmer sollten unerfahrene user überhaupt nichts entfernen, die frage ist sowieso, erkennt gmer einen spyeye befall den überhaupt direkt? und die antwort ist nein.
    7. Ändern Sie Ihre Passwörter erneut!
    macht dann auch keinen sinn.
    ich frag mich sowieso warum man erst die passwörter bei aktivem schädling und dann noch mal endern sollte?
    desweiteren wurde dann ja nicht mal geprüft, ob weitere schädlinge auf dem pc sind.
    dies kann man auch nicht ausschließen, wenn man d-cleaner laufen lässt, denn diese finden ja nur bereits bekannte schädlinge.
    es ist immer eine manuelle analyse nötig, wie wir es zb beim trojaner-board täglich machen.
    dieser artikel ist mehr als überarbeitungs würdig.
    gruß

    markus

  2. Hallo Markus,

    vielen Dank für Dein Feedback, welches ich gerne kommentieren möchte.

    Du hast Recht: GMER ist in der Tat ein sehr heikles Tool und sollte nur von erfahrenen Anwendern verwendet werden. Ich habe den Hinweis darauf entfernt und auch die Reihenfolge 7/8 vertauscht!

    Warum empfehlen wir als 2. Punkt das Passwort zu wechseln? Ganz einfach:

    – Weil unsere Erfahrungen zeigen, dass viele dies eben von einem Rechner tun, der eben nicht (mehr) infiziert ist (z.B. vom Büro aus) und die Gefahr damit erst einmal gebannt ist.
    – Weil die Verwendung der Credentials nicht immer binnen weniger Sekunden / Minuten / Stunden geschieht (nachdem das Passwort geklaut wurde), sondern zeitversetzt; durch dier Änderung der Daten auch von einem infizierten System, erhöht man die Chance dass der Account sich nicht mehr in den Händen Krimineller Dritter befindet

    Warum empfhehlen wir die Passwort-Wechsel an Punkt 8?
    – Ganz einfach: Weil der Trojaner eben noch aktiv gewesen sein könnte, als wir das erste mal das
    Passwort gewechselt haben gewechselt haben und die Passwörter eventuell an die Dropzone geschickt hat

    Schädlinge trotz DE-Cleaner?
    Das Übersehen einer Infektion, Markus ist immer gegeben. Das kann auch den Trojaner-Board Freiwilligen geschehen, da es sicherlich auch Infektionen gibt, die dort nicht erkannt werden. Wir behaupten auch an keiner Stelle, dass das ein Allerheilmittel ist!

    Grundsatz: Ein System, das einmal mit einem derartigen Schädling infiziert war, sollte man niemals/nie mehr trauen und neu Aufsetzen. Und wie Du sicherlich gelesen hast, weisen wir genau darauf hin. “Prüfen Sie eine Neu-Installation” …

    Beste Grüße,
    TK, ABBZ

  3. diese erfahrung habe ich eben nicht gemacht, ihr müsst euch mal überlegen, dass leute auf euren artikel stoßen die in panik geraten sind.
    wenn du denen sagst. “endere dein passwort” werden sie es häufig von der infizierten maschine aus machen.
    es gehört meiner meinung nach hin, endern sie das passwort von einem zweit rechner.
    bzw würde ich persönlich das immernoch ans ende setzen und bei 2. raus lassen.
    wieso ist nichts vermerkt, dass zb das onlinebanking sofort gesperrt gehört. damit der leser hier nicht fürchten muss, dass im seitens der bank eine farlässigkeit vorgeworfen werden kann.
    und du schreibst ja, “am besten den pc formatieren”.
    spricht nichts dagegen, aber warum wird dann hier nicht zum passwort endern aufgefordert? was ja für diejenigen, die am infizierten pc ihr passwort geendert haben, schon sehr wichtig währe.
    ich habe nicht behauptet, das wir an den foren perfekte arbeit leisten, dass macht keiner.
    aber meiner meinung nach ist immer eine manuelle analyse nötig, und das bloße benutzen von antimalware programmen reicht nicht.
    wenn man sich mal die vt ergebnisse für malware ansieht, die man auf den pcs findet, ist das, wass zumindest die signatur und heuristik erkennung angeht, ja meist eher mau.
    auch wenn uns in vielen tests gern eingeredet werden soll, dass die hersteller an die 100 % erkennen, hatt das nichts mit der realität zu tun, was ja dann zb an den samples liegt, die verwendet werden, sind ja meist etwas ältere. aber das ist ja wieder nen anderes thema 🙂

    muss diesen taskmanager bei spyeye mal ausprobieren, bist du eig 100 %ig sicher das der den spyeye erkennt? normalerweise machen sich ja viele versionen neuerdings durch code injektion unsichtbar.
    da würde zb ein aktivieren der dep
    http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2323.htm
    für alle prozesse
    abhilfe schaffen, da der spyeye dann nicht mehr gestartet werden kann bzw seinen code nicht mehr injiziert und nicht mehr “unsichtbar” ist.
    dies funktioniert natürlich nur vernünftig bei hardware basierter dep
    hoffe das führt jetzt alles net zu weit.
    falls doch, lösche meine komentare und schreib mir ne mail 🙂

    1. Hi Markus,

      bitte akzeptiere, dass ich die Empfehlung in Punkt 2 nicht löschen werde. Der Nutzer soll sofort das Passwort ändern, damit dieses für die Cracker erstmal wertlos wird. Sorry.

      Und: Formatieren alleine hilft auch nicht immer, siehe Torpig … hier muss man sich zudem die Mühe machen den MBR zu überschreiben; aber das weißt Du sicherlich … 😉

      Und: Ja, Neubers Security-Task-Manager ist in der Lage SpyEye zu erkennen und zu entfernen. Das habe ich selbst schon getestet. 😉

      Grüße,
      TK, ABBZ

  4. a und noch ne kleinigkeit.
    du sagst, “nicht alle versionen übermitteln enderungen zeitnahe”
    aber einige tun dies, deswegen immer vom schlimmsten ausgehen.
    🙂
    desweiteren weis man ja nicht, wie schnell der hilfesuchende in der lage ist, die gegebenen tipps umzusetzen.

    1. Nein, das habe ich nicht geschrieben. 😉 Ich habe geschrieben, dass Zugangs-Daten in der Regel nicht direkt nach dem Ausspähen & Übermitteln ausgenutzt werden … ein kleiner aber feiner Unterschied. 😉

      Grüße,
      TK, ABBZ

  5. Hallo,
    ich hab da mal eine Frage.
    Meine Bank hat mich darüber informiert, dass ich mir scheinbar diesen Spyeye Trojaner eingehandelt habe. Ich hab jetzt die hier beschrieben Anweisungen befolgt und den Security Task Manager laufen lassen. Jetzt stehen da ganz viele Prozesse, ich hab aber keine Ahnung welcher davon der Schädling ist. Spyeye steht da nirgends.

Kommentare sind geschlossen.