hmunmlcl*.exe

1 commentBlog, , , , , , ,

Die Zeiten ändern sich.

Dieser Beitrag scheint älter als 15 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.

Seit einiger Zeit finde ich in meinem Temp-Verzeichnis (Windows Vista) unter C:\Users\Gool\AppData\Local\Temp\~tmp\ hin und wieder versteckte Verzeichnisse mit dem Namen hmunmlcl## (wobei ## eine variable Zahl darstellen) mit einer gleichnamigen .exe-Datei (bspw. hmunmlcl98.exe) oder auch (nur einmal bei mir aufgetreten) gmrg##.exe. Mein Virenscanner (G DATA AntiVirus 2009) erkennt diese Dateien hin und wieder (!) auch mal als „Win32.Trojan-gen {other}“, was natürlich zu Spekulationen einlädt. Bei Jotti eingeworfen, erhalte ich bei der aktuellen Datei weitere Namen:

AntiVir: Found TR/Agent.iob
CPsecure: Found Troj.Proxy.W32.Horst.av
Dr.Web: Found Win32.HLLW.Medbod.origin
Ikarus: Found Virus.Win32.Virut.as
Norman Virus Control: Found W32/Smalldoor.CQGT
Sophos Antivirus: Found Mal/NotSocial-A

Zusatz-Info:
MD5: 01ec663174168de260b1ce034cdb7f68
Packers detected: PE_PATCH.UPX, UPX

Die übrigen Virenscanner (auch G DATA) liefern zu dieser Datei keine Ergebnisse.

Jetzt ist natürlich die Frage, wo kommt das her? Ok, wie ich mir die Infektion eingefangen habe, kann ich mir noch erklären: vor kurzem habe ich einige nicht gerade vertrauensvolle Dateien aus dem Internet geöffnet. Für die Zukunft weiß ich nun, dass ich dann doch lieber die VMWare starte un die Dateien darin ausführe – da kann ich dann besser rumspielen.

Mit Sophos und Cure It! von Dr. Web habe ich dann meinen PC gescannt – aber nichts weiter verdächtiges gefunden. Welcher Prozess nun dafür verantwortlich ist, dass diese merkwürdigen Dateien erstellt werden, war mir also weiter unbekannt. Auch mit HijackThis konnte ich nichts auffälliges finden.

Dann habe ich selbst mal so einige Verzeichnisse durchsucht und bin fündig geworden: im Verzeichnis ..\AppData\Roaming habe ich gestern noch eine Datei Namens esentutl.exe gefunden, die bei Jotti von Ikarus und A-Squared als Win32.Tervemoy.A identifiziert wurde (alle anderen Virenscanner haben nichts erkannt).

Beim nächsten Virenalarm von meinem Virenscanner habe ich mal genauer drauf geachtet, welcher Prozess versucht, auf die Datei zuzugreifen. Siehe da, die spoolsv.exe, also vermeintlich die Druckerwarteschlange. Das erschien mir schon sehr merkwürdig. Nachdem ich per Zufall über ein eigentlich alt bekanntes Tool, den Prozess-Monitor von Microsoft/Sysinternals gestolpert bin, habe ich mal mitgelogged und konnte sehen, wie sich das Ding einnistet.

Das Ding wird tatsächlich von spoolsv.exe angelegt und gestartet. Die hmunmlcl##.exe wird wie folgt gestartet:

C:\Users\Gool\AppData\Local\Temp\~tmp\hmunmlc03\hmunmlc03.exe iu=http://w2.stat-run.com/work/task.php?c=hotmail&unml=1;n=50;t=5;l=5;b=ag;k=1;dl=0

Wenn ich diese Adresse aufrufe, erhalte ich ein XML-Dokument als Antwort mit folgendem Inhalt:

<err>0</err>
<URL>http://j1.stat-run.com/work/timeout.php</URL>
<URL>http://w2.stat-run.com/work/post5.php</URL>
<URL>http://j1.stat-run.com/work/status.php</URL>
<URL>http://j1.stat-run.com/work/report.php</URL>
<URL>http://t.stat-run.com/hm/adlnks.php</URL>

In Betrieb, nimmt es den Kontakt zu verschiedenen, offenbar nicht zusammen hängenden Servern über verschiedene Ports auf. Interessanterweise sind da auch einige Microsoft-Server dabei. Was aber auch durchaus damit zu erklären wäre, dass dieser Schädling ein Spambot sein könnte.

Ich habe dann zunächst die stat-run.com und die Subdomains auf 127.0.0.1 geerdet (über die Hosts-Datei).

Weil mir das ganze nicht geheuer was, habe ich als nächstes eine Firewall installiert (ich bin ja sonst nicht so der Fan von Firewalls, in diesem Fall hat es sich aber als die richtige Entscheidung entpuppt) und nach dem Windows-Neustart die spoolsv.exe geblockt. Beim Blick in die Firewall-Regeln sah ich, dass die spoolsv.exe gar nicht die richtige Druckerwarteschlange ist, sondern sich im Verzeichnis c:\Users\Gool\AppData\Roaming\Microsoft nebst drei weiteren Programmen befand: einmal die comrepl.exe (nach der hatte ich sogar schon gesucht, aber sie nicht gefunden), eine dllhst3g.exe und eine rsvp.exe. Die Dateien ließen sich problemlos im abgesicherten Modus entfernen.

Der Autostart ging über die Registry: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows im Wert „load“

Ich hoffe, ich kann mit meinen Erkenntnissen dem einen oder anderen helfen.


1 comments on “hmunmlcl*.exe”

  1. Pingback: Der Grabsteinschubser / Die Firewall-Legende

Leave A Reply

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Arne Schadagies