Win32.Polipos - Removal

[Ruby]

Win32.Polipos - ein neuer Virus
Help in English

Das Problem zeigt sich folgendermaßen:

- sicherheitsrelevante Programme lassen sich weder herunterladen, noch installieren, noch updaten.
- Programme lassen sich nicht entpacken.
- der Rechner fährt sich selbst runter oder startet neu.
- gängige Anitivirus-Programme finden nichts.

- die Firewall meldet veränderte Programme
- Prozesse wachsen, das heisst die Datei-Grösse nimmt zu
- jede ausführbare Datei, die aufgerufen und ausgeführt wird, wächst
- der Explorer versucht sich mit dem Internet zu verbinden, zu den Adressen 65.98.38.30, 217.195.47.206 und 66.36.241.147.

- Fehlermeldungen von Windows:
Datei konnte nicht gespeichert werden, weil die Quelldatei nicht gelesen werden konnte.
Datei konnte nicht gespeichert werden da ein unbekannter Fehler aufgetreten ist. Versuchen sie es in einem anderen Ordner zu speichern.

Soweit die Aussagen von Betroffenen,
bei uns im Forum und am Trojaner-Board

Schuld daran kann ein neuer Virus sein, der Win32.Polipos, der ausführbare Dateien mit Schadcode infiziert und ihn permanent verändert.

Polipos scheint dies (das Verändern des Schadcodes) so effizient zu tun, dass er offenbar selbst Antiviren-Spezialisten täuschen kann: Ein Leser berichtete, dass sowohl Avira als auch Kaspersky eingesandte, mit Polipos infizierte Dateien als sauber diagnostizierten. Im heise-Security-Labor zeigten sie ihre Viralität jedoch durchaus. So wuchsen nach dem Start einer infizierten Testdatei eine ganze Reihe ausführbarer Dateien um etwa 70 KByte; nach wenigen Minuten waren bereits Dutzende infiziert, darunter der Internet Explorer und Firefox.

Nur wenige Antivirus Programme sind momentan in der Lage diesen Virus auf einem System zu diagnostizieren.
Der eScan erkennt einen Teil der infizierten Dateien als "P2P-Worm.Win32.Polipos.a".

Die Verbreitung auf neue Systeme erfolgt in erster Linie über P2P-Tauschbörsen.

Mehr dazu bei Heise Online.

Removal

Bei Verdacht auf Anwesenheit dieses Wurms auf einem System, sollte

Dr.Web CureIt!

angewendet werden, da dieses Freeware Antivirus Programm in der Lage ist, die infizierten Dateien so zu reinigen, dass sie weiter verwendet werden können. Der Standalone-Scanner von Dr.Web kann nicht geupdatet werden. Er kann jedoch beliebig oft neu heruntergeladen werden. Eine deutschsprachige bebilderte Anleitung zu Dr.Web CureIt! findet sich bei uns
im Forum Hilfe, Tipps & Tricks:

Dr.Web CureIt! (Anleitung)

Sind jedoch bereits systemrelevante Dateien gelöscht worden, sollte das System formatiert und neu aufgesetzt werden.

Eine Hilfestellung hierzu bietet unser Beitrag
System-Sicherheit.

[Ruby]

Hierzu Auszüge eines Berichtes von

Dr Web:

Die Verbreitung von WIN 32. Polipos begann im März 2006, der Virus wurde umgehend der Virendatenbanken von Dr.Web Anti-Virus hinzugefügt. Seither stellt dieser neuerliche Sicherheitsangriff keine Gefahr für Dr.Web Anti-Virus Benutzer dar.

Sehr gefährliche Eigenschaften: diese ermöglichen es, verschiedene Virenerkennungs- und Sicherheits- Programme zu neutralisieren, dadurch an das Netz angeschlossene Computer zu infizieren, die dann das gesamte Netz zu infizieren, und deren Inhalte der Öffentlichkeit zugänglich zu machen.

Das Virus infiziert ausführbare Windows-Dateien, indem es den Code des Polymorphen Decoders in unbenutzte Code-Sektoren schreibt.

Wird das Virus gestartet werden alle aktiven Prozesse infiziert.

Die Ausbreitung von WIN.32 Polipos ist sehr gefährlich für Benutzer von Peer-to-Peer Netzwerken.

Download

Our English Speaking Users may want to have a look to Win32.Polipos:

Dr.Web Anti-virus protects peer-to-peer networks from a dangerous polymorphic Win32.Polipos April 19, 2006

Read more: Dr. Web Online

[Alysander]

Also hier meine Beschreibung.

1. Wahrscheinlich durch das Peer to Peer Programm E-mule. Dort habe ich mir LEGAL etwas herruntergeladen in form einer *.exe Datei.

2. Erste Anzeichen:

-Antivir beendet sich in der Taskleiste,bleibt aber im System aktiv. Heißt Prozess ist sichtbar im Taskmanager.

-Icq beendet sich nach kurzer dauer ohne jede meldung oder anzeichen.

-Microsoft Automatisches Update beendet und Deaktiviert sich.

-Sicherheitssoftware läßt sich Teilweise nicht mehr Updaten. Spybot und Spywareblaster. Antivir und Norton funktionieren finden aber nichts.

-Das Speichern von Dateien funktioniert großteils nicht mehr wenn es sich um Sicherheitssoftware oder Microsoft Downloads handelt.

-Der Computer startet ohne ersichtlichen Grund oder hinweis sich neu.

-Bei neu installierung von Graphikprogrammen die mit Rendern arbeiten,gibt es probleme mit den *.dll Dateien. Einsprungspunkt fehlermeldung.


3.Bemerkt habe ich es schon bei den ersten anzeichen,aber da kein Programm etwas gefunden hatte,habe ich ziemlich rumgerätselt. Da es auch sehr lange gedauert hat bis sich alle Symptome gezeigt haben. Etwa 4 Wochen.

4. Formatiert habe ich weil das Problem sich nicht beheben ließ. Ich hatte allerdings eine Datensicherung gemacht. Und zwar in Form von Verschiedenen Programmen und Persönlichen Daten in form von Word und Textdateien.
Da ich nicht wusste was es war habe ich diese nach dem Formatieren wieder raufgespielt.

5. Wichtig ist das weder mein Zonealarm,Antivir,Norton antivirus 2006,Spywareblaster,Spybot noch irgend ein anderes Programm etwas angezeigt hatte oder irgendwas gefunden hat.

Die Programme beenden sich in der Taskleiste oder schließen die Fenster,sie bleiben aber im Taskmanager als Prozess sichtbar.

Das ist jetzt erstmal alles was mir einfällt.

[Alysander]

Was ich noch vergessen habe.

Mein Computer ist an ein Netzwerk angeschlossen mit 2 anderen Pc's. Trotz Daten austausch ist es zu keiner infizierung der anderen Pc's gekommen. Datensicherung erfolgte auf einen XP Rechner von Windows 2000 aus.

Ich selber hatte nach der ersten Formatierung mir Windows XP raufgespielt und dies aus Performens gründen wieder runtergeworfen.
Dort hatte ich meine Gesicherten Daten in form von *.exe Dateien auch ausgeführt und es kam zu keinen Problemen. Weshalb ich auch davon ausging das die Daten sicher sind und sie nach der neu Installation von Windows 2000 wieder raufgespielt und ausgeführt habe(*.exe dateien),danach traten die Probleme wieder auf.

[Ruby]

Hallo Alysander

herzlichen Dank für deinen Bericht zu dieser Win32.Polipos Infektion.

Wie ich erfahren habe, ist diese Infektion, anscheinend nur bei Dr. Web seit dem 20 März bekannt. Bis heute ist Dr. Web das einzige AV-Programm, das diese Infektion reinigenderweise entfernen kann. Die anderen AV-Hersteller scheinen nun langsam nachzuziehen. Es spricht sich rum, dass dieser Virus existent ist.

Es ist die Rede von wachsenden .exe und .com Dateien, die anscheinend ausschliesslich infiziert werden. Möglicherweise braucht dieser Virus Aktivität auf den Systemen, da er sich nicht verbreitet, wenn eine Datei nicht ausgeführt oder ein Rechner im Ruhezustand ist. Es wurde beobachtet, dass die explorer.exe versucht, sich über verschiedene Kanäle und Ports mit dem Netz zu verbinden. Auch der Messenger würde von dem Virus dazu verwendet, der explorer.exe einen Weg ins Netz zu bahnen (Quelle). Irgendwo im Netz, in einem der weit verstreuten Berichte (leider finde ich die Seite nicht mehr), habe ich gelesen, dass dieser Virus ptf.tmp Dateien anlegt. Eine dieser Dateien habe ich auf deinem System gefunden:

16.04.2006 23:08 11.438.184 ptf2.tmp

Es ist wichtig, soviel wie möglich Information zum Erscheinungsbild dieser polymorphen Infektion zusammen zu tragen, damit sie erkennbar wird, und wir sie frühzeitig und ohne Verlust der Systeme erkennen und behandeln können.

Hast du deine anderen Rechner überprüft? Tu das bitte.

Englische Berichterstattung

[Alysander]

Ja die anderen Rechner gehören meinem Lebensgefährten und wir haben sie mit allen für meinen Rechner empfohlenen Maßnahmen untersucht. Es gab keine meldung das der Rechner infiziert wäre. Dr Web cure hat nichts gefunden. Lediglich die Sicherungsdateien von meinem Rechner waren infiziert aber er hatte sich nicht verbreitet. Allerdings waren die Wiederherstellungsdateien befallen. Hätte er seinen Rechner zurückgesetzt wäre der Rechner gegebenenfalls infiziert worden. (Ausage Lebensgefährte:Medieninformatikstudent)

[Lebensgefährte!]

So um klarzustellen, Webcure hat auf meinem Rechner (Win XP) in den Sicherungsdateien von Alysander (meiner Freundin) den W32.Polipos gefunden, ebenso zeigte mir WebCure eine Infizierung der Sicherungsdateien von Windows XP an. Sprich bei Systemwiederherstellung währe auch dieser Wurm wieder aufgetaucht. Da keine der Sicherungsdateien auf meinem Rechner ausgeführt wurde ist auch keine Infektion meines Rechners aufgetreten.
Sichherheitshalber poste ich aber gerne einen Log von Hijackthis in einem neuen Thread.
MfG
Der Lebensgefährte...

[Ruby]

Gibt es auf deinem System oder auf Wechselmedien noch infizierte Dateien?
Ist diese Datei noch auf deinem Rechner?

"16.04.2006 23:08 11.438.184 ptf2.tmp"

Man sollte sie analysieren. Wirst du deinen Rechner neu aufsetzen? Du hast 22 wichtige Dateien verloren. Das ist auch noch meine Schuld Ich war zwar bereits über diesen Virus informiert, kam aber nicht auf die Idee, dass er sich auf deinem System breitgemacht haben könnte.

Hallo Der Lebensgefährte...

diese Infektion ist leider nicht im HijackThis Logfile erkennbar.
Wenn du/ihr sagt, dass Dr. Web nichts auf euren Systemen findet, werdet ihr wohl recht haben ;-)

[Alysander]

Nein werd das System nicht nochmal neu machen,es sind keine wirklich wichtigen Dateien und bisher habe ich keine Probleme. Außerdem werd ich versuchen die Windows dateien per Reperatur wieder herzustellen. Ich bin froh das er weg ist und bin dir wirklich dankbar für die tolle hilfe Ich werde nach der Datei mal schauen.

[Ruby]

Danke @ Alysander

... und Lebensgefährte