Windows Defender entdeckt Trojaner NSudo.exe

[SchorschHRO]

Hallo,

vor ein paar Tagen habe ich bemerkt, dass der Viren- & Bedrohungsschutz des Windows Defenders deaktiviert war. Ein Aktivieren per Mausklick konnte den Windows Defender scheinbar nicht aktivieren. Ich habe zunächst einen Neustart durchgeführt, welcher das Problem mit dem Virenschutz beheben konnte. Ich habe danach einen vollständigen Systemscan mit dem Windows Defender durchgeführt. Dieser lieferte mir als Ergebnis eine schwerwiegene Bedrohung (Trojan:Win64/NSudo!MSR). Die Datei befand sich wohl in einem Ordner mit Installationsdateien für eine Adobe Master Collection die ich mir vor ungefähr einem Jahr gekauft habe.

Ich hoffe mein Beitrag wird jetzt nicht wegen Software-Piraterie gesperrt denn eigentlich war es offensichtlich, das es sich um keine offzielle Version von Adobe handeln kann. Ich ärgere mich schon über mich selbst und frage mich was mich dazu bewegt hat dort zu kaufen und das Programm zu installieren.

Ich habe in dem betroffenen Ordner nachgeschaut aber konnte die vom Defender angegebene Datei bzw. das zip-Archiv nicht finden.
Ich habe nochmal andere Virenschutzprogramme installiert und prüfen lassen, jedoch konnten diese keine Gefahr finden. Danach habe ich mir mit Kaspersky einen USB-Stick mit der Kaspersky-Rescue-Disc erstellt und habe die Festplatten von dort aus abgesucht aber auch hier wurde nichts gefunden.

Im Internet habe ich nicht viele Informationen zu NSudo.exe oder einem Trojaner gefunden. Viele Seiten schrieben zwar, dass es sich dabei um einen Trojaner handelt aber wirklich schlau bin ich daraus nicht geworden. Deshalb wollte ich hier nochmal fragen, ob ihr mehr darüber wisst. Anscheinend ist NSudo ja ein Programm um Administratorrechte unter Windows zu erlangen. Das ist ja schonmal ziemlich fragwürdig. Weil mir das alles so komisch vorkam habe ich mich auch dazu entschlossen mein System neu aufzusetzen. Ich überschreibe momentan meine Festplatten um sicherzugehen, dass ich auch ein sauberes System installiere.
Ich habe in den letzten Tagen bereits viele meiner Passwörter geändert für den Fall, dass ein Angreifer meine Daten oder Tastatureingaben abgegriffen hat.

Ist es übertrieben von mir, dass ich von einem Trojaner ausgehe? Immerhin hat kein anderes Virenschutzprogramm außer der Windows Defender angeschlagen. Falls nicht was sollte ich noch beachten um sicherzugehen, dass ich den Trojaner loswerde? Festplatten überschreiben, System neu installieren, Passwörter ändern...
Und was könnte ein Angreifer mit dem Programm NSudo.exe machen?

 

[Kronos60]

Weil mir das alles so komisch vorkam habe ich mich auch dazu entschlossen mein System neu aufzusetzen. Ich überschreibe momentan meine Festplatten um sicherzugehen, dass ich auch ein sauberes System installiere.
Ich habe in den letzten Tagen bereits viele meiner Passwörter geändert für den Fall, dass ein Angreifer meine Daten oder Tastatureingaben abgegriffen hat.

Wenn du richtig neu installierst (Alle Partitionen löschen und in den unzugewiesenen Platz installieren) hast du nichts zu befürchten. Vor allem dann wenn du die Passwörter geändert hast.

 

[Tulol]

Immerhin hat kein anderes Virenschutzprogramm außer der Windows Defender angeschlagen.

Der Defender wird die verdächtige Datei bereits in Quarantäne verschoben oder gelöscht haben, weswegen sie an ihrem ursprünglichen Ort nicht mehr zu finden war.
Im Fall einer Löschung ist es ja auch klar wieso andere Virenscanner nicht gefunden haben.

Was meinst du mit "Festplatte überschreiben"?

Viren/Trojaner/Schadprogramme sind kein Voodoo der sich außerhalb physikalischer Gesetzmäßigkeiten bewegt sondern stink normale Programme die gestartet werden müssen um aktiv werden zu können.

 

[Kronos60]

Viren/Trojaner/Schadprogramme sind kein Voodoo der sich außerhalb physikalischer Gesetzmäßigkeiten bewegt sondern stink normale Programme die gestartet werden müssen um aktiv werden zu können.

Stimmt nicht so ganz, bei Drive-By Infektionen muss man nichts starten, bei Phishing sehr wohl.

 

[SchorschHRO]

Was meinst du mit "Festplatte überschreiben"?

Ich überschreibe meine Festplatten mit shredOS bzw. nwipe.

Viren/Trojaner/Schadprogramme sind kein Voodoo der sich außerhalb physikalischer Gesetzmäßigkeiten bewegt sondern stink normale Programme die gestartet werden müssen um aktiv werden zu können.

Lässt sich wahrscheinlich eh nicht mehr mit Sicherheit feststellen aber hätte ein Angreifer dann nur Zugriff gehabt, wenn ich ein Programm von Adobe gestartet hätte?

 

[CoMo]

NSudo ist keine Malware, sondern ein Programm, mit dem sich andere Programme mit erhöhten Rechten starten lassen.

Der Defender wird das als Riskware einstufen und daher anschlagen. Ich würde erst mal davon ausgehen, dass hier keine echte Malware aktiv geworden ist.

Um das näher zu untersuchen, erstelle bitte ein FRST-Log. Als Admin ausführen, Haken setzen bei Shortcut.txt und Addition.txt und auf Untersuchen klicken. Alle 3 Dateien hier als Anhang posten.

Ergänzung (27. März 2023)

Ach, du überschreibst schon deine Festplatten? Ja dann gibt es eh nix mehr zu untersuchen. Thema erledigt 🧐

 

[Kronos60]

Ich überschreibe meine Festplatten mit shredOS bzw. nwipe.

Das kann man sich sparen, es reicht wenn man bei der Neuinstallation alle Partitionen löscht und in den unzugewiesenen Platz installiert.

 

[SchorschHRO]

Um das näher zu untersuchen, erstelle bitte ein FRST-Log. Als Admin ausführen, Haken setzen bei Shortcut.txt und Addition.txt und auf Untersuchen klicken. Alle 3 Dateien hier als Anhang posten.

Das ist leider nicht mehr möglich, da ich bereits damit begonnen habe, die Festplatten zu überschreiben.

 

[CoMo]

Das hätte man sich alles sparen können. Dein System war vermutlich nie infiziert, der Defender hat lediglich Riskware identifiziert.

https://github.com/M2TeamArchived/NSudo

Nächstes mal nicht gleich Panik schieben, sondern erst denken und dann handeln.

Festplatten überschreiben ist ebenfalls völlig unnötig. Wozu soll das gut sein? Die Festplattenmechanik ein bisschen stressen?

 

[SchorschHRO]

Ok das merke ich mir für das nächste Mal!

 

[Kronos60]

Dein System war vermutlich nie infiziert, der Defender hat lediglich Riskware identifiziert.

Wahrscheinlich hast du recht, nur jetzt lässt sich das nicht mehr feststellen.

Man kann auch die betroffene Datei bei Virustotal hochladen um sich einen Überblick zu verschaffen. Aber auch das ist jetzt nicht mehr möglich.

 

[WinFan]

Hallo, besser wäre es gewesen, erst hier zu fragen und danach zu handeln, somit ist deine Frage von Dir selbst schon behandelt worden,

 

[CoMo]

Erklären lässt sich das vermutlich so:

Es war eine pirated Adobe Software. Die muss im Anschluss an die Installation cracked werden. Bedeutet: Executable gepatcht und Aktivierungs-Domains in die HOSTS Datei eingetragen.

Die Crack-Schreiber haben es sich einfach gemacht und NSudo verwendet, um den UAC-Prompt zu triggern und entsprechende Rechte zu erhalten.

Ist wie mit so vielen Programmen, die auch für bösartige Zwecke genutzt werden können. Der AV erkennt Riskware und schlägt an. Passiert genauso mit vielen Nirsoft-Utilities. Muss man dann halt im Einzelfall anschauen und entsprechend reagieren bzw. Ausnahmen definieren.

Pirated Software beinhaltet natürlich immer ein hohes Risiko für Schadsoftware. Wenn man nicht genau weiß, was man tut, verbrennt man sich da schnell die Finger.

 

[Nickel]

Das kann man sich sparen, es reicht wenn man bei der Neuinstallation alle Partitionen löscht und in den unzugewiesenen Platz installiert.

Was aber nur "diskpart clean" und eine Schnellformatierung ist.
Will man wirklich eine SSD/HDD sicher plattmachen bedarf es schon "diskpart - clean all".
Tools braucht man hier aber keine und einmal überschreiben reicht.
Was den Thread betrifft, diskpart clean bzw Partitonen löschen und Neuinstallation reicht hier.