Facebook Wurm – Virus entfernen – Erste Hilfe Maßnahmen

Da sich die Meldungen über neue Facebook Würmer/Viren in letzter Zeit häufen und wir auch immer wieder Anfragen bekommen, was für Betroffene zu tun ist, möchten wir hier ein paar Erste Hilfe Maßnahmen beschreiben. Vorweg müssen wir aber ganz klar sagen: Dies ist keine Universallösung zum Entfernen aller Viren/Würmer/Malware, die sich über Facebook verbreiten und es kann nicht garantiert werden, dass alle Schadprogramme vollständig entfernt werden. Wir möchte hier lediglich Tips geben, wie man sich in so einem Fall verhalten sollte.

Die Meisten Würmer/Viren/Malware, die sich im Moment über Facebook verbreiten, sind so angelegt, dass sie den Facebook User dazu bringen möchten, auf einen Link zu klicken. Dieser kann in Form eines Videos, eines Pinnwandeintrags, oder einer direkten Nachricht eines Facebook Freundes auf euch zu kommen. Klickt man auf diesen Link, gibt es zur Zeit zwei große Möglichkeiten sich mit Malware zu infizieren:

  • Der Benutzer wird auf einer folgenden Internetseite aufgefordert eine Code Zeile zu kopieren, in der Adressleiste seines Browsers einzugeben und auszuführen
  • Der Benutzer wird aufgefordert eine Datei herunterzuladen und auf dem PC auszuführen.

Beide Möglichkeiten haben meist die Folge, dass der Link in Form von Video/Pinnwandeintrag/Nachricht im eigenen Namen an alle Facebook Freunde gepostet wird. Das kann so gut angelegt sein, das man das selbst gar nicht mitbekommt oder die Posts in seinem Namen überhaupt nicht sieht. So sichert der Wurm/Virus seine Verbreitung über Facebook.
Hat man nun so einen Link angeklickt und sein Facebook Konto infiziert, kann über folgenden Link erst einmal die Sicherheit des infizierten Kontos wiederhegestellt werden:

https://www.facebook.com/checkpoint/checkpointme?f=113194692112762

Als zweiten Schritt, sollte man die Anwendungen, denen man erlaubt mit seinem Facebook Konto zu interagieren, prüfen. Diese sind unter

Privatsphäre-Einstellungen -> Anwendungen und Webseiten -> Einstellungen bearbeiten -> Anwendungen, die du verwendest -> Ungewollte oder belästigende Anwendungen entfernen

zu finden. Alles was hier nicht hingehört, sollte man entfernen. Es könnte sonst ohne weiteres passieren, dass sich die Links immer wieder im eigenen Namen verbreiten. Im dritten Schritt, sollte man alle betroffenen Freunde darauf hinweisen die Links nicht anzuklicken und sie bei Bedarf bitten, diese schnellstmöglich von Ihrer Pinnwand zu entfernen.

Soweit die erste Hilfe zum Facebook Konto. Mit Ausführen eines JavaScript Codes oder dem Herunterladen und Ausführen einer Datei auf den heimischen PC wird meistens auch dieser infiziert. Als erstes sollte man hier einen kompletten Scan mit der installierten Antivirensoftware durchführen. Die Schadprogramme sind nur oft so gut, dass sie herkömmliche Antivierenprogramme austricksen und von diesen nicht erkannt werden. Eine gute Ergänzung ist das Tool Malwarebytes Anti-Malware, das ihr hier finden könnt. Nach der Installation wird das Programm gestartet und aktualisiert sich meistens sofort. Dabei werden die neuesten Malware Signaturen aus der Datenbank des Herstellers geladen. Nur mit dieser Aktualisierung hat man überhaupt eine Chance die neueste Malware zu erkennen. Ist die Aktualisierung fertig, bestätigt man den Dialog. Im nächsten Fenster erscheint die Frage nach der Testversion – hier einfach Testphase starten auswählen. Somit kann das Tool während der Testphase kostenlos genutzt werden.
Danach wird der vollständige Suchlauf ausgewählt und mit dem Button Scannen gestartet. Jetzt muss man sich leider etwas gedulden. Die Länge des Suchlaufs kann je nach PC zwischen Minuten und Stunden schwanken. Danach wird das Ergebnis angezeigt. Hier sollte jeder Fund ausgewählt werden und mit Klick auf den Button „Entferne Auswahl“ gelöscht werden.

Ein weiteres Tool, das wir bereits in Kommentaren erwähnt haben, ist Threatfire. Der Unterschied zwischen Threatfire und einem Antivirenprogramm, ist die Verhaltenserkennung. Die meisten herkömmlichen und vor allem kostenlosen Antivirenprogramme, haben diese nicht in ihrem Umfang. Sie erkennen Bedrohungen nur anhand von Signaturen. Ihr Antivirenprogramm bezieht im besten Fall täglich die neuesten Viren-Signaturen über ein Update vom Hersteller und kann Bedrohungen anhand dieser erkennen. Hat die Malware aber noch keine Signatur beim Hersteller, kann das Antivierenprogramm diese auch nicht erkennen.
Threatfire arbeitet in erster Linie ohne Signaturen. Es setzt vielmehr auf verhaltensbasierte Erkennung, d.h. es analysiert im Hintergrund das Verhalten der Software auf dem PC und versucht so bösartige Schadprogramme zu erkennen. Ich persönlich setzte es z.B. zusammen mit Avira Free Antivirus ein und habe dabei keine Laufzeitprobleme. Man sollte vor der Installation aber prüfen, ob es sich mit dem installierten Antivirenprogramm verträgt. Auch mit diesem Tool lässt sich der PC Scannen und auf etwaige Malware überprüfen, wenn es die Malware nicht schon direkt aufgrund ihres Verhaltens erkennt. Threatfire ist hier zu finden.

Im schlimmsten Fall verbreitet sich über diese Links in Facebook aber auch der Wurm Phorpiex. Der, wie uns einige User leider berichtet haben, den BKA/GEMA Trojaner im Gepäck hat. Dieser sperrt den PC komplett und es erscheint eine Meldung mit dem Hinweis das verbotene Inhalte auf dem PC gefunden wurden. Das ganze wird mit einem Logo des BKA oder der GEMA unterstützt. Weiterhin bekommt der Betroffene die Aufforderung einen Betrag zwischen 50 und 250 € zu zahlen. Nur so könne man die Sperrung des PC´s wieder aufheben. Aber selbst wenn man das Geld blauäugig bezahlt, wird die Sperrung nicht aufgehoben. Auch wenn so eine Meldung auf dem heimischen PC einen sicherlich erst einmal nervös macht, muss man doch Ruhe bewahren und auf keinen Fall das Geld bezahlen!
Um zuerst einmal wieder die Kontrolle über den PC zu erlangen hilft es in einigen Fällen im Abgesicherten Modus hochzufahren. Hilft das nicht, ist der zweite Versuch die temporären Internetdateien zu löschen. Oft ist das Fenster, das den PC sperrt nur hier angesiedelt. Unter Windows XP, Vista oder 7 muss man dazu beim Hochfahren des PCs die F8 Taste drücken und im erscheinenden Menü den „Abgesicherten Modus mit Eingabeaufforderung“ auswählen. Anschließend können die Temporären Internetdateien mit folgendem Befehl gelöscht werden:

rundll32.exe InetCpl.cpl,ClearMyTracksByProcess 8

Danach wird der Rechner neu gestartet. Leider funktioniert das auch nicht in jedem Fall. Die letzte Möglichkeit wäre das Booten von einer Rescue Disc, wie z.b. dem bootfähigen Desinfec´t von Heise. Unter diesem Link findet ihr eine sehr gute Anleitung wo ihr die Security Disc findet und wie ihr sie richtig einsetzen könnt.

Hat man sich aber den Phorpiex inklusive BKA/GEMA Trojaner eingefangen, kann man nur zu einer kompletten Neuinstallation des Systems raten. Dieser Wurm hat meist auch den ZEUS Trojaner im Gepäck. Im letzten Blog Post haben wir bereits darauf hingewiesen, dass er z.B. ohne weiteres Tastatureingaben ausspähen kann. Das ist aber nur ein kleiner Teil seines Könnens. Er ist im Eigentlichen darauf ausgerichtet Online Banking Daten auszuspionieren.

Und auch bei einer Neuinstallation muss man vorsichtig sein. Will man z.B. seine Daten sichern und schließt hierzu eine externe Festplatte per USB an, kann man sich die Mühe gleich sparen. Phorpiex ist so intelligent, dass er die USB-Platte erkennt und sich auf dieser sichert. Beim zurückspielen der Daten würde man sich so die gleiche Malware wieder auf sein System spielen. Nach einer Neuinstallation sollte man auch sämtliche Passwörter seiner Online-Dienste, wie Facebook, ICQ, Email usw. ändern und in den kommenden Tagen/Wochen/Monaten im Auge behalten. Für alle interessierten gibt es hier noch einen sehr guten Link über den Phorpiex Wurm und was dieser im Detail anrichtet und beinhaltet.

Der beste Schutz ist natürlich überhaupt nicht auf einen „verseuchten“ Link zu klicken. Sollte euch das trotzdem passiert sein, hoffen wir natürlich das euch diese Tips helfen können. Hier auch noch einmal der Hinweis, dass dies keine Musterlösung zum Entfernen sämtlicher über Facebook verbreiteter Malware ist.
Falls euch noch andere nützliche Tools einfallen, oder Ergänzungen zu unseren Tips, freuen wir uns natürlich über jegliche Form von Kommentaren oder Diskussion.

Viele Grüße
Michael Werner – SSN

Advertisements

0 Responses to “Facebook Wurm – Virus entfernen – Erste Hilfe Maßnahmen”



  1. Schreibe einen Kommentar

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s