GPU-Mining Trojaner Entdeckt - wie entfernen?

[Hildebrandt17]

Hallo!

Neulich ist mir etwas eigenartiges aufgefallen, nämlich dass nach dem Start der GraKa-Lüfter trotz niedriger Zimmertemperaturen immer hochgedreht hat. Das eigenartige: Die GPU-Auslastung lag immer bei exakt 75%, was bei einer neuen HD7970 nicht sein dürfte. Als schuldigen konnte ich den Prozess svchost.exe (ein an sich bekannter Prozess) ausmachen. Das eigenartige: der Pfad in dem der Prozess lief war C...\AppData\Roaming\ActiveX

In das Verzeichnis gewechselt stieß ich auf diverse OpenCL Dateien sowie neben der svchost.exe auf eine Config-Datei mit dem Inhalt

[general]
    autodetect = +cl -cpu -cuda
    backend = http://1PPy3wcq2CFu7znFRgeBUGtN5oWpChQvCo:x@[U][B]mining.eligius.st[/B][/U]:8337
[web]
    disabled = True

Das lässt mich drauf schließen, dass ich einen Bitcoin-Trojaner eingefangen habe!

Das komische ist, dass Antivir bei einem Systemscan nichts entdeckt hat...

Die Frage: Hat jemand Erfahrung, wie man einen Trojaner dieser Art entfernt? Dateien und Strateinträge einfach löschen? Gibt es registry Einträge? Wie kann man Infektionen dieser Art verhindern (Ich kenne die üblichen Regeln á la keine unbekannten Attachments öffnen etc.)?

Besten Dank für eure Ratschläge

 

[dMopp]

Dazu das Antivir nix findet sage ich nichts... :/


Entfernen:

LiveCD (Linux, mit NTFS schreibsupport!) und die Files löschen. GGF mal den Virenscanner generell wechseln..


Was mich aber wundert:
https://en.bitcoin.it/wiki/Pooled_mining

Liest sich net so als wäre es was bösartiges


Zum Thema:

ActiveX klingt nach IE Nutzung, welche Version benutzt du denn ?

 

[0w1p]

Ich würde einfach den Ordner und die Autostarteinträge löschen


____________

Ist auch an sich nichts böses, nur wenn man halt die Rechenleistung anderer leute klaut, um selber damit geld zu verdienen.

 

[samsungtr]

du kannst ja den kompletten ordner mit antivir nochmal intensiv durchsuchen lassen, falls du dir nicht sicher bist nochmal einen anderen programm versuchen.

 

[emeraldmine]

Sehr interessant, könntest dass ganze präzisieren ? Dann hätte man einen Ansatzpunkt falls es andere auch erwischt und die das weg bekommen wollen !?

 

[computerbase107]

Folgende Info dazu habe ich gefunden: https://en.bitcoin.it/wiki/Eligius

Dort wird explizit auf den Port 8337 hingewiesen. Versuche doch einmal diesen Port zu schließen und beobachte das weitere Verhalten.

 

[Hildebrandt17]

Entfernen:

LiveCD (Linux, mit NTFS schreibsupport!) und die Files löschen. GGF mal den Virenscanner generell wechseln..

Denkst du, dass dazu extra der Start über ein externes OSD nötig ist? Welchen Scanner würdest du empfehlen?

Was mich aber wundert:
https://en.bitcoin.it/wiki/Pooled_mining

Liest sich net so als wäre es was bösartiges

Das stimmt, bin selbst an sich mit Bitcoin vertraut, deswegen bin ich überhaupt dahinter gekommen. Das Problem ist nur, dass das Programm meine Graka+Strom (was bei einer HD7970 nicht so wenig ist) verwendet um für igendwen Geld zu generieren!

Zum Thema:

ActiveX klingt nach IE Nutzung, welche Version benutzt du denn ?

Wie gesagt: Ich bin mit den standard Sicherheitsvorschirften vertraut. Ich verwende FF + Adblock + NoScript. Deswegen wundert es mich auch, woher der Trojaner kommt.

du kannst ja den kompletten ordner mit antivir nochmal intensiv durchsuchen lassen, falls du dir nicht sicher bist nochmal einen anderen programm versuchen.

Habe ich schon gemacht. Antivir findet nichts, auch wenn man nur den einen Ordner durchsucht - nicht einmal eine Warnung gibt er aus.

 

[purzelbär]

Das komische ist, dass Antivir bei einem Systemscan nichts entdeckt hat...

Die Frage: Hat jemand Erfahrung, wie man einen Trojaner dieser Art entfernt? Dateien und Strateinträge einfach löschen? Gibt es registry Einträge? Wie kann man Infektionen dieser Art verhindern (Ich kenne die üblichen Regeln á la keine unbekannten Attachments öffnen etc.)?

Eines vorweg: ich hatte mir bist jetzt noch nicht solche Trojaner ungewollt eingefangen. Mein Vorschlag wäre wenn du das System nicht neu aufsetzen möchtest: Zuerst einen Komplett-Scan mit zum Beispiel Kaspersky Rescue Disk: http://support.kaspersky.com/de/faq/?qid=207621612 danach das System noch mit zum Beispiel Malwarebytes Free: http://www.malwarebytes.org/products/malwarebytes_free/ auch komplett scannen(kann man auch im Abgesicherten Modus machen)und Malwarebytes bitte als Free installieren und nicht als 15 tägige Pro(deren Hintergrundwächter könnte sich mit Avira "beißen")und wenn du möchtest zum Schluß nochmal das System mit Malwarebytes Anti-Rootkit: http://www.malwarebytes.org/products/mbar/ scannen(ist zwar noch Beta läuft aber schon stabil).

 

[BrainLagg]

Bist du dir sicher dass du dir was eingefangen hast? Meine 7950 von Gigabyte macht seit 3-4 Tagen genau das selbe, mitten im Idle gehen die Lüfter auf 100% hoch, kann sie per CCC aber auch nicht mehr drosseln. Keine Ahnung was das sein soll..

Das ist aber erst nach dem letzten CCC Beta Update im Dezember.

Ich denke nicht dass ich mir da was eingefangen habe.
Bitdefender aktuell (AV und Firewall), alle Ports im Router geschlossen, keine verdächtigen Seiten o.ä. besucht. Genau wie du Firefox, adblock plus und noscript. Gepatchte brain.exe war auch am immer am laufen..

 

[Hildebrandt17]

@emeraldmine

Das System von Bitcoin: du kannst via "mining" Geld generieren, was im endeffekt Brute-Force-Attaken sind. die entweder via CPU oder (mittlerweile üblich) GPU berechnet werden. Das ist soweit alles kein Problem, viele machen das freiwillig auf ihrem eigenen PC, teilweise auch mit mehreren Mining-PCs. Die errechneten Bitcoins kann man dann ich echtes Geld umtauschen (z.b. https://mtgox.com/). Das Problem ist nur, dass sich dieses mining kaum auszahlt, da Grafikkarten viel Strom verbrauchen und die Stromkosten mitunter höher sein können als der erlös.

Die Idee eines Bitcoin Trojaners ist, dass man die GPU eines anderen für einen "minen" selbst lässt. Dass heißt er hat den Strom zu bezahlen, den sein Computer zusätzlich verbraucht, die errechneten Bitcoins werden aber an den Autor des Trojaners überwiesen. Er bereichert sich aufgrund der (versteckten) Kosten eines Anderen.

Woran erkennt man dass man infiziert ist: Die GPU wir ohne Grund ausgelastet. Bitcoin Mining braucht auf jeden Fall extrem viel Rechenleistung
Das sollte sie, zumindest auf dem Windows Dektop niemals sein.
Den Trojaner, den ich eingefangen habe, hat das ziemlich plump erledigt. Nach dem Starten gleich auf 75% GPU-Auslastung. Der Prozess und die Executables waren leicht zu entdecken. Auch hat der Trojaner verhindert, dass der PC den Bildschirm abschaltet (was nach 3 Minuten geschehen soll) was bei der HD7970 die gesamte GPU deaktiviert hätte und somit auch mining unmöglich gemacht hätte.

Gefährlich ist natürlich, dass der Trojaner scheinbar ansich legitime Methoden verwendet. Wie gesagt, es gibt Leute, die freiwillig Mining betreiben, warscheinlich wird sich nur die Adresse des Bitcoin-Pools ändern (1PPy3wcq2CFu7znFRgeBUGtN5oWpChQvCo:x@mining.eligius.st:8337) und der Rest könnte gleich bleiben.

Beängstigend ist natürlich der Gedanke: was wäre wenn der Trojaner schlauer Prgrammier wäre?
Ich denke vor allem an subtilere Methoden wie z.B. Minig nur dann zu betreiben, wenn der Computer nicht verwendet wird und dann die GPU auch nur so auszulasten, dass sich die Lüfterdrehzahl nicht oder nur minimal ändert. Vielleicht könnte man auch die Exekutables und den Prozess besser verstecken.

 

[emeraldmine]

Vielen Dank für die Ausführungen, also sollte er leicht zu entdecken sein, dass ist schon mal beruhigend.

 

[Ernie123]

Du kannst ja trotzdem die GPU Last bei MSI Afterburner loggen.

 

[Hildebrandt17]

Bist du dir sicher dass du dir was eingefangen hast? Meine 7950 von Gigabyte macht seit 3-4 Tagen genau das selbe, mitten im Idle gehen die Lüfter auf 100% hoch, kann sie per CCC aber auch nicht mehr drosseln.
[...]

Ich denke nicht dass ich mir da was eingefangen habe.

Du kannst es leicht überprüfen: Schau im Catalyst Control Center (oder ein anderes Programm) wie hoch deine GPU Auslastung ist. Wenn sie >0% am Desktop ist, stimmt etwas nicht. Überprüfe sonst auch, ob die Temperaturen normal sind!

 

[DaveStar]

1PPy3wcq2CFu7znFRgeBUGtN5oWpChQvCo:x@mining.eligius.st:8337

Wenn ich das richtig verstehe ist hierin ja die Bitcoin-Adresse des "Täters" ersichtlich (1PPy3wcq2CFu7znFRgeBUGtN5oWpChQvCo). Nur wird man diesen damit wohl nicht identifizieren können.

 

[Tigerass 2.0]

Und dieser Täter kann nicht so arg viel Zeit darin Investiert haben, da er schon einen miner verwendet, der offsensichtlich nichtmahl von ihm Programmiert wurde, weshalb hat er sonst nicht die Adresse gleich fest einprogrammiert?

Wies auf deinen PC kam kann ich mir aber auch nicht erklären, das würd mich misstrauisch machen. und ich glaube kaum dass TDL3/4 etc. für soetwas zu leisten ist. Aber wenn du dich ein bisschen besser auskennst kannste ja mal schauen ob im explorer.exe threads laufen, die z.B. nur X heißen und im system32\x.dll führen, aber in wirklichkeit, wenn mann es sich genau anschaut, in deinen Papierkorb landen, da Windows dort selbstangelegte Ordner irgendwie von selbst versteckt

LG Tigerass

 

[Sukrim]

http://eligius.st/~wizkid057/newstats/userstats.php/1PPy3wcq2CFu7znFRgeBUGtN5oWpChQvCo - immerhin um die 35 BTC hat der da schon abgezogen.

Dürfte aber wirklich eher eine recht dumme Angelegenheit sein, es gibt durchaus weit fortgeschrittenere Minigtrojaner (hier ein Interview mit einem Programmierer eines solchen Botnets, das immer noch (!) funktioniert: http://www.reddit.com/r/IAmA/comments/sq7cy/iama_a_malware_coder_and_botnet_operator_ama/). Gerade da mining jetzt nicht gerade sooo viel abwirft dürfte es wahrscheinlich sein, dass der Botnetoperator auch versucht Kreditkartendaten etc. abzugreifen. Sei froh, dass er offenbar zu blöd ist, das Bitcoinmodul gescheit zu konfigurieren (siehe reddit AMA wie man das "richtig" macht).

Generell: Ist mal was infiziert, hilft eigentlich nur plattmachen und neu installieren. Daten kann man eventuell noch drüberretten (der Trojaner klingt eher nach 0815 Skriptkiddybausatz, wird also kaum z.B. Worddateien mit einem 0-day infizieren), Programme und besonders Windows würde ich aber neu installieren.

Außerdem kannst du auch mal Luke Dashjr (dem Inhaber des Eligius Pools) eine Mail zukommen lassen, am Besten mit allen Trojanerdateien in einem Zipfile als Anhang. Ich nehme mal an, bei dieser Art von Beweis wird der auch mal den Account auf seinem Pool sperren und Miningtrojaner dürften ihn auch interessieren (http://eligius.st/wiki/index.php/Eligius_mining_pool, http://eligius.st/wiki/index.php/Eligius:FAQ#Are_botnets_allowed_on_Eligius.3F). Auch eine Anzeige gegen Unbekannt kann nicht schaden, sowie eventuell auch mal ne Mail mit den Trojanerdaten an Kaspersky, Avira + co.

Generell also erste Schritte: kein Onlinebanking/Paypal/Kreditkarte mehr, vom Internetz trennen, Daten sichern (=alles was NICHT ausführbar ist, also keine dlls oder exe Dateien) + Liste mit Programmen anlegen, die man wieder installieren will (eventuell Lizenzen sichern/Keys raussuchen etc.), HDD/SSD plattmachen, Windows neu installieren, Windows hochpatchen, Programme installieren, Daten einspielen, fertig. Alternativ: Backup von vor der Infektion rückspielen, eventuell neue Daten vorher sichern und auch wiederherstellen.