PC mit Raspberry Robin infiziert oder nicht?

[tomatos666]

Hallo,

bei einem Scan mit Malwarebytes wurde eine ZIP-Datei mit dem Virus Raspberry Robin gefunden. Diese ZIP-Datei muss schon länger auf dem System liegen, da sie auch auf der vorherigen Festplatte gefunden wurde, die anschließend auf die SSD gespiegelt wurde.

Meine Frage ist: Wie kann ich herausfinden, ob die Malware auf dem PC ausgeführt wurde? Der Scanner hat die Malware nur in der ZIP-Datei gefunden. Zusätzlich wurden noch andere Bedrohungen bei Open Office, angezeigt. Diese sind nicht als Malware sondern als unerwünschtes Programm gekennzeichnet.

Das Problem bei der gesamten Situation ist, dass ich Bedenken habe, dass eine Exfiltration meiner eigenen Dateien stattgefunden hat. Um zu überprüfen, seit wann die ZIP-Datei auf die Festplatte gelangt ist, habe ich die alte Festplatte wieder eingebaut, dabei jedoch vergessen, den Netzwerkstecker zu ziehen. Auf dieser alten Festplatte waren vor der Spiegelung der Defender und die Firewall deaktiviert.

 

[kartoffelpü]

Eine Zip-Datei alleine richtet erst mal keinen Schaden an.
Wenn du den Inhalt nicht mal irgendwie ausgeführt hast, wird da nichts weiter sein.

 

[tomatos666]

Danke für deine Antwort. Ja das weiss ich nur bin ich mir nicht sicher ob ich nicht die Zip mal geöffnet habe. Ich kan leider nicht mehr festtellen wann die Datei auf dem PC kam. Die Zip heist "file_chapter-1.rar".

 

[thealex]

Ist doch ganz einfach: Wenn du zweifelst, dann setz den Rechner neu auf. Alles andere ist am Ende nur halbgar und birgt halt Restrisiko.

 

[tomatos666]

Ja es geht nicht um den Rechner neu aufzusetzen.
Das ist das kleinste sondern ob sollte die Exe ausgeführt worden sein eigene Datein abgegriffen worden sein könnten.
Hört sich Paranoid an. Die Bedenken sind allerdings da...

 

[SFFox]

Es könnte natürlich auch ein false positive sein.
Auf https://virusscan.jotti.org/de kannst du die Datei mal hochladen und sie dort von mehreren Scannern scannen lassen.

Malwarebytes selbst scheint Raspberry Robin relativ zuverlässig zu erkennen. Wenn es also bei dieser einen Archivdatei bleibt scheint er noch nicht ins System geschlüpft zu sein.
https://www.malwarebytes.com/blog/detections/worm-raspberryrobin

Aber ja, wie andere auch sagen: echte Gewissheit bringt nur neu aufsetzen leider

 

[wesch2000]

Auf https://virusscan.jotti.org/de kannst du die Datei mal hochladen

Habe ich auch oft gemacht. Aber 40 Scanner sagen "negativ" und 5 Scans sagen positiv. Da bleiben also immer Zweifel.

 

[SFFox]

Habe ich auch oft gemacht. Aber 40 Scanner sagen "negativ" und 5 Scans sagen positiv.

So lange mehr als 1 Scanner einen positiven Befund ausweist hat das schon etwas Gewicht. Aber ja es ist nur ein Tool von vielen und auch hier kriegt man keine absolute Sicherheit.

 

[wesch2000]

@SFFox und besonders dann, wenn Paranoia dazu kommen.

 

[tomatos666]

In der Zip liegen genau jene Dateien wie auf Verschiendenen Webseiten beschrieben. Die Datei heist auch so. Es ist also defentiv der Raspberry Robin.

 

[thealex]

Aber was ist nun dein Wunsch? Wir können dir nicht sagen, ob die Datei auf deinem Rechner jemals ausgeführt wurde. Ein nicht entpacktes Zip-file ist ein Indiz, mehr auch nicht.

Und was für Aktivitäten die Datei durchgeführt hat, sollte sie denn jemals ausgeführt worden sein, kann leider auch keiner mit Gewissheit sagen.

Daher zurück zu: Neu aufsetzen, vergessen und ggf. für kritische Zugänge einmal die Kennwörter aktualisieren/ 2FA aktivieren. Mehr ist aus meiner Sicht eigentlich nicht praktikabel.

 

[PC295]

Diese ZIP-Datei muss schon länger auf dem System liegen

Wo liegt den das Archiv genau?
Systemordner, gehört es zu einem Programm, etwas heruntergeladenes?

 

[tomatos666]

Hallo danke für eure Antworten. Meine Frage ist ob ich durch hinterlassenschaften vom Virus bzw. änderungen am System Rückschlüsse ziehen kann... Das das jetzt im Nachhinein schwierig wird verstehe ich selber...
Der PC mit der alten Fesplatte war ca. 5min im Netz.
Hauptsächlich geh es mir ob Dateien abgegriffen worden sein könnte

Ergänzung (23. Oktober 2024)

Wo liegt den das Archiv genau?
Systemordner, gehört es zu einem Programm, etwas heruntergeladenes?

Unter Downloads war die Zip.

 

[PC295]

Was für Dateien sind im Archiv?
Du kannst das Archiv mit z.B. 7-Zip öffnen, ohne es entpacken zu müssen.

 

[tomatos666]

Ich habe das Archiv nicht zur hand aber was ich mich noch errinner wie auf den Webseiten beschrieben die OleView.exe und aclui.dll. Es waren 2 Dateien.

 

[nutrix]

Auf dieser alten Festplatte waren vor der Spiegelung der Defender und die Firewall deaktiviert.

Warum macht man das so?

 

[tomatos666]

@nutrix Hab ich mich im Anschluss auch gefragt...

 

[PC295]

Die Firewall muss man nicht deaktivieren.
Beim Defender ist es schon sinnvoll, da er Kopiervorgänge massiv bremst.

Beim Kopieren infiziert sich kein System durch Archive.

 

[nutrix]

https://www.heise.de/news/Wurm-Malw...n-infiziert-Windows-und-Qnap-NAS-7170350.html

Kam es doch zu einem Befall, sollten die betroffenen Maschinen mit einem Image neu aufgesetzt werden, da die Malware sich einnistet und Mechanismen zum Verstecken auf infizierten Systemen nutze

https://www.cybereason.com/blog/thr...orm-abuses-windows-installer-and-qnap-devices

Raspberry Robin installs itself into a registry “run” key in the Windows user’s hive, for example:

“Hku\[GUID]\software\microsoft\windows\currentversion\runonce\vayp” with value “RUNDLL32 SHELL32.DLL,ShellExec_RunDLLA REGSVR32.EXE /u -S "C:\Users\[UserName]\AppData\Local\Temp\cnsbi.mh."

As a result, “rundll32.exe” loads the same DLL as the one which the initial “msiexec.exe” process downloaded in the infection stage. It then proceeds with the same process injection and communication as described above.

Ich würde als erstes mal die Registry nach diesem Eintrag durchsuchen.

 

[tomatos666]

Danke für den Hinweis