Na prima, da habe ich doch meinen ersten Trojaner entdeckt. Leider habe ich keine Ahnung wie er auf mein System kam. Da ich in letzter Zeit mit ziemlich vielen Programmen rumexperimentiert habe, ist das nicht so genau zu sagen. Vielleicht sollte ich mir mal die "Software Virtualization Solution" von Altiris ansehen, um Software in einer virtualisierten Umgebung zu testen ohne gleich jedesmal eine VM-Ware zu starten.
Gemeinerweise fand ihn mein Virenscanner nicht, auch auf der Virenscanseite von jotti.org erkannte ihn keiner der 15 als Schädling. Lediglich NOD32 merkte aufgrund der heuristichen Analyse an, dass dies möglicherweise ein Schädling sei.
Immerhin hat McAfee aufgrund meiner Einsendung gleich regiert. Im ersten Durchlauf schrieben die AVERT(tm) Labs, Aylesbury, UK bereits am gleichen Tag:
We have examined the file and didn't see anything suspicious. As an additional test, we tried to run it on a test system and observed no
suspicious behaviour.
If you still believe this is a virus or trojan file, please provide more
information on why you feel this is a suspect file.
Es ging um die Datei "C:\WINDOWS\system32\clipboard.exe". Sie behauptete von sich von Microsoft zu stammen, hatte aber eine ziemlich MS-untypische Versionsnummer, gehörte angeblich zu Windows 2000 (ich habe XP) und sei in "China (VR)" hergestellt worden.
Außerdem lief der Prozess permanent und hatte sich in der Registry eingetragen:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"clipboard.exe"="C:\\WINDOWS\\system32\\clipboard.exe"
Nach dem Anmelden startete ein Browserfenster und leitete mich auf eine mir unbekannte Webseite (irgendwas unter www.coolsheep.com, aber die Seite konnte wegen eines JS-Fehlers nicht dargestellt werden). Nach dem Austragen aus dem AutoRun war das Verhalten weg.
Nachdem ich Avert das geschrieben hatte, wurde die Datei als "Generic Backdoor.b" klassifiziert und mir eine neue Signaturdatei zur Verfügung gestellt, die den Schädling einwandfrei identifizierte und löschte. Sie kommt mit dem nächsten Update an alle Kunden. Offenbar hatte ich Glück, weil kein weiterer Schaden entstand…
Auf die Schliche kam ich dem Fießling übrigens mit der Werkzeug HijackThis.