Sparkassentrojaner schiesst Dateisystem ab

Eigentlich hätte ich euch heute gern meine Unboxing-Videos der beiden neuen Subnotebooks Acer Aspire 1830T und Lenovo U160 vorgestellt, aber leider ist mir ein fieser neuer Trojaner dazwischen geraten, der wohl hauptsächlich Sparkassenkunden belästigt. Es handelt sich dabei um ein Rootkit, welches sich in den letzten Sektor der Partition schreibt und den Rechner neu starten lässt, um seine eigenen Installationsdateien zu löschen. Um sich diesen Anserim oder Torpiq genannten Trojaner einzufangen wird dem Nutzer der Sparkassenseite beim Online-Banking vorgegaukelt, er/sie müsse zur Sicherheit einige Pin- und TAN-Nummern eingeben und dann auf "weiter" klicken, was meine Bekannte leider auch getan hat.
Die offizielle Fehlerbehebung der Sparkasse, die die Bekannte von einer Mitarbeiterin bekam, welche nach eigener Aussage seit etwa einer Woche kaum noch zu etwas anderem kommt, liest sich folgendermassen:

Trojanisches Pferd: ANSERIN / TORPIQ
1. Funktionsweise
Das Trojanische Pferd enthält einen MBR-RootKit.
Die Installationsroutine des Trojanischen Pferdes kopiert sich selber in den MBR (Master Boot
Record). Damit wird das Trojanische Pferd bei jedem Systemstart geladen. Das Trojanische Pferd
installiert einen RootKit-Loader sowie weiteren Schadcode auf den letzten Sektoren der Festplatte.
Somit werden keine Manipulationen am normalen File-System vorgenommen und die Virenscanner
finden keinen Befall. Kurz nach der Installation führt das Trojanische Pferd einen Neustart des
Rechners durch und löscht dabei die temporär benötigten Installationsdateien.
2. Entdeckung
Zur Entdeckung des Trojanischen Pferdes steht das Tool GMER zur Verfügung:
http://www2.gmer.net/beta/
Weitere Erkennungs-Tools finden Sie unter:
http://www.trendmicro.com/download/rbuster.asp
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
3. Bereinigung
Für eine weitgehende Bereinigung des Systems ist wie folgt vorzugehen:
• Systemstart (Boot) mit einer Windows-CD
• Bei der Abfrage was gemacht werden soll - Installieren oder Reparieren - auf REPAIR gehen.
Es erscheint der bekannte DOS-Bildschirm.
• Hier das Kommando fixmbr eingeben. Durch diesen Befehl wird der BootSektor (Sektor 0)
neu geschrieben. Dem Trojanischen Pferd fehlt damit der Einstiegspunkt und es kann somit
nicht mehr tätig werden.
Da sich ggf. noch weitere Schadsoftware auf dem System befindet, die der Virenscanner nicht findet,
wird zur Sicherheit eine Systemneuinstallation empfohlen. Hierzu ist eine Formatierung (keine
schnelle Formatierung) und anschließend die weitere Neuinstallation durchzuführen.
Ohne Gewähr



Nun hat zwar der Virenscanner GMER2 nicht direkt die angegebene Mitteilung ausgegeben, aber da ich nur am Telefon geholfen habe fehlte mir dazu der Überblick. Wie dem auch sei, den MasterBootRecord neu zu schreiben ist ja eigentlich kein Problem. Beispielsweise mit dem Programm TestDisk, welches ich schon einmal vorgestellt hatte, lässt sich ein MBR neu schreiben, was ich zur Sicherheit einmal an meinem eigenen System ausprobiert habe. Da dies problemlos möglich war führten wir den Vorgang dann auch an dem befallen Acer Aspire 5270z durch, welcher aber daraufhin nicht mehr starten wollte. Hier zeigte sich, dass der im MBR sitzende Trojaner wohl zusätzlich aufs Dateisystem übergegriffen hat, wie es auch im Forum von Chip.de schon vermutet wurde.

Nun bleibt mir als letzte Variante, weil auch mit der Windows CD kein Dateisystem mehr erkannt werden kann, nur die Möglichkeit der Datenrettung mit Photorec und TestDisk. Danach wird die Partition formatiert werden müssen, um sie mit einem frischen OS zu bespielen. Insgesamt eine sehr ärgerliche Angelegenheit, die leider auch viel Arbeit macht. Meine Unboxing-Videos könnt ihr euch aber trotzdem schonmal in meinem YT-Account ansehen...ein paar erste Eindrücke zu den Systemen gibts dann am Wochenende.