Att ta bort virus; en fallstudie

(2003-06-29)

För någon vecka sedan ringde en kollega till mig och berättade att hans dator uppförde sig underligt. Han är ingen nybörjare, så han hade ganska bra koll på vad han hade råkat ut för. Ett virus var det. Han märkte det på att han inte längre kunde hämta sin e-post på vanligt vis. Hans antivirusprogram kollar nämligen e-posten innan den hamnar i inkorgen, men han fick ingen e-post i inkorgen, för antivirusprogrammet var inte med längre.

Han försökte öppna antivirusprogrammet genom ikonen i aktivitetsfältet, men ikonen försvann så fort muspekaren nuddade den. Över telefon försökte vi hitta något skumt i autostarten eller något konstigt bland de processer som kördes, men det var inget som stack ut. Jag började tro att det bara var något programfel, sånt där som bara blir i Windows ibland när man installerar något nytt program som stör gamla.

Eftersom det inte blev någon ordning tyckte min kollega det var bäst jag kom hem till honom och tittade på hans dator. Sagt och gjort. Det jag noterade direkt var att antivirusprogrammet startade som det skulle, men automatiskt avslutades efter bara någon sekund. Ganska misstänkt. Som om något program låg och lurpassade för att stänga ned antivirusprogrammet så fort den upptäckte det. Men inga andra program verkade drabbade, så hur visste den att det var antivirusprogrammet? Filnamnet? Jag bytte namn på antivirusprogrammet till ASDF.exe och bingo! Det stängdes inte längre ned.

Med antivirusprogrammet igång kändes det att man hade gjort framsteg. Nu kunde hårddisken sökas igenom och det var bara en tidsfråga innan vi skulle få reda på vad det var för virus och var det fanns. Antivirusprogrammet jobbade ihärdigt och vi väntade med spänning. Men det blev en besvikelse. Inget virus hittades. Kunde det vara ett programfel ändå? Bara en tillfällighet? Jag bytte namn på Anteckningar till antivirusprogrammets namn och, bingo igen! Anteckningar stängdes automatiskt av bara sekunder efter att man startat det.

Nu var jag verkligen säker på att det var något virus och att det var aktivt i datorn. Alltså måste det finnas med i Aktivitetshanteraren (Ctrl-Alt-Del) i listan över de processer som körs. Jag tittade där igen, och igen, och upptäckte att av de fem instanser av SVCHOST.exe som kördes så var en startad av användaren och de övriga av Windows själv. Jag avslutade den som var startad av användaren, och Anteckningar fungerade nu som vanligt trots antivirusprogrammets namn. Viruset var därmed avaktiverat. Återstod bara att lokalisera det och ta bort det...

Jag sökte efter filen SVCHOST.exe och hittade den på två ställen; c:\Windows och c:\windows\system32. Vilken var den riktiga? Efter en koll på en osmittad dator såg jag att den i Windows-katalogen var fejk. Vi tog bort viruset, startade om datorn, och... Viruset var tillbaka! SVCHOST.exe låg där i Windows-katalogen precis som innan.

Eftersom jag inte tror på spöken var det dock självklart att viruset fanns i någon annan fil, som startades när datorn startade och kopierade sig till SVCHOST.exe. Så det gällde att hitta den ursprungliga filen. Men nu när vi hade viruset i SVCHOST.exe blev jag nyfiken på att virustesta den igen, bara just den filen. Norton hittade dock inget utan sa att filen var osmittad. Men min nyfikenhet stannade inte med det, utan jag bad några hjälpsamma människor på Eforum testa viruset med sina antivirusprogram. Några av dem fick napp och vi fick ett namn. En till och med gjorde en snabbanalys och berättade vilka filnamn den sparade sig under, och med hjälp av den informationen kunde vi slutligen ta bort de sista spåren av viruset.

Intressant att notera är att fyra veckor efter virusinfektionen hittade Nortons senaste uppdateringar fortfarande inte viruset. Jag tog då och skickade in viruset till Symantec så de kunde ta med det och numera hittas det alltså även av Norton Antivirus.

Vad kan vi då lära oss utav det här?

  • Var uppmärksam på hur datorn uppför sig.
  • Misstänker du att du drabbats av virus, dra ur nätverkskabeln/modemet.
  • Öppna aldrig bifogade filer. Spara den på hårddisken, starta programmet som har hand om den sortens filer och öppna filen inifrån det programmet. Är du osäker på vilket program som ska användas, så skriv och fråga den som skickade filen till dig.
  • Tro inte att du går säker bara för att du har ett antivirusprogram som du uppdaterar regelbundet. Tänk på att de som gör virus också har tillgång till antivirusprogram och kan testa så att deras skapelser inte detekteras innan de släpper dem.

Liten test av antivirusprogram:
http://www.securityfocus.com/archive/1/327099/2003-06-24/2003-06-30/0