Trojaner Warnung (Trojan-Downloader)

    Moin Forum

    Gestern am 15.05.09 wurde hier im Forum ein potenzielles Schadprogramm entdeckt.
    Es könnte sich hierbeit um einen sogenannten Camuflage Trojaner resp. Trojan Downloader handeln.

    Dieser tauchte in Form eines Bildes auf welchen ein User im Profil hatte.
    Raffsack hatt das entsprechende Bild gestern gelöscht, doch es könnte bereits zu zahlreichen Infektionen gekommen sein weshalb ich nun diesen Thread erstell.

    Leider war es mir nicht mehr möglich entsprechendes Bild zu sichern um es einem reverse engineering zu unterziehem resp. zu analysieren.

    Nun...
    Was ist ein Trojan-Downloader?

    Bei einem Trojan Downloader handelt es sich nicht um ein eigentliches Schadprogramm, sondern
    vielmehr um eine "Hilfsapplikation" die dazu dient nach infiszierung die eigentliche Schadsoftware irgendwo aus dem Netz aufs System zu laden.

    Bei der von Diesen "Hilfsapplikationen" heruntergeladenen Schadsoftware kann es sich theoretisch um alles mögliche handeln.
    Von Keylogger (Die Tastatureingaben mitschneiden) über Trojaner (welche dem Programmierer solcher Software zugriff auf fremde Systeme ermöglichen) bis hin zu Viren deren einziges Ziel darin besteht das infiszierte System zu zerstören.

    Auch können theoretisch auf diese Art und Weise schädliche Scripts erstellt und als .jpg Bild getarnt werden die sich nur bestimmte Login Daten (zb. von Foren, Webseiten, etc.) vom System aneignen und diese dann an den Programmierer dieser Schadsoftware weiterleiten.

    Wie Infisziert man sich damit?

    Bei dieser Art Camuflage (getarnte) Trojander reicht u.U bereits das anzeigen des Bildes aus um sich zu infiszieren.

    Wie schütze ich mich davor?

    Gratisprogramme wie Antivir bieten KEINEN resp. nur GERINGEN Schutz vor solcher Schadsoftware.
    Dies deshalb weil Programme wie Antivir primär ihre Stärken in der Virensuche haben, resp. dafür konzipiert wurden und darum nur über eine begrenzte Trojaner Heuristik verfügen.

    Ich emfpehle meinen Kunden welche Antivir einsetzen, neben diesem immer noch eine zweitsoftware, die ihre Stärken auf der Trojanererkennung hat, zu installieren.
    Ich habe hierbei mit der Software ThreatFire gute erfahrungen gemacht (ebenfalls Freeware)
    Diese funktioniert auch problemlos mit Antivir zusammen.
    Ansonsten ist es aber nicht ratsam, ja gar kontraproduktiv mehrere Virenprogramme gleichzeitig einzusetzen, da sich diese gern gegenseitig behindern.

    Umfassenden Schutz vor solchen Schadprogrammen bieten Security Suiten wie z.b die Internet Security von Kasparsky, da sie über eine erweiterte Heuristik verfügen und auch in der lage sind Viren/Trojaner und ander Malware zu entdecken die noch neu und unbekannt oder getarnt sind resp. den Kontakt von solchen potenziell schädlichen Programmen resp. Programmkomponenten von vornherein unterbinden.

    Wie finde ich nun heraus ob ich infisziert wurde?

    Wie gesagt da ich das Bild nicht mehr sichern konnte (wurde auf dem Hoster ebenfalls gelöscht was eben stark auf ne Schadsoftware hindeutet) kann ich auch nicht mit Sicherheit sagen ob es sich in diesem Fall wirklich um einen Trojan Downloader handelte oder blos um ein von Kasparsky falsch interpretiertes Script.

    Ich empfehle jedoch jedem Forum User mal den Online Scanner von Kasparsky übers System laufen zu lassen.

    Diesen findet ihr unter:
    http://www.kaspersky.com/de/virusscanner

    mfg: RedBaron

    wenn ich beim online scanner von Kaspersky auf Akzeptieren klicke geschieht nichts -.-

    woran kann das liegen?

    findet Antivir nur den Downloader nicht oder versteckt sich auch das Programm selber vor Antivir?

    -"Is there anything else I can do to help?"
    -"You want to be useful?"
    -"Yes!"
    -"Then go get me some coffee."

    @Ho-oi

    Liegt sehr wahrscheinlich an deinem Browser
    Ich vermute mal du verwendest Firefox... versuchs alternativ mal mit dem IE
    (firefox funzt bei mir auch nicht)

    Edit:

    Zitat

    Der Kaspersky Online-Scanner setzt den Internet Explorer in Version 6.0 oder höher voraus, ActiveX muss aktiviert sein. Der Arbeitsspeicher, die Bootsektoren und der Master Boot Record Ihres Computers können mit dem Online-Scanner nicht überprüft werden.

    und nein... Antivir erkennt den Trojan-Downloader nicht!
    bei der Schadsoftware die von diesem heruntergeladen wird kann ichs dir nich sagen, da ich das Pic nich analysieren konnte und daher nicht sagen kann was genau heruntergeladen wird.

    Wenn ein Virus geladen wird, wird Antivir diesen ziemlich sicher entdecken.
    Wenn jeddoch ein Trojaner oder gar ein Rootkit geladen wird welches Windoof Prozesse per injection manipuliert ziemlich sicher nicht ;)

    Edit:
    Ne zusätzliche Möglichkeit sind Freewareprogramme wie Spybot Search&Destroy:
    http://www.safer-networking.org/de/index.html
    (bei diesem jeddoch bei der Installation "TeaTimer" und "SDHelper" NICHT aktivieren - Führt nach meiner Erfahrung mehr zu Problemen als ein Nutzen besteht und auch von einer Immunisierung des Systems ist abzuraten da sonst Probleme bei zukünftigen Softwareinstallationen auftreten können.)

    mfg: RedBaron

    also hätte es gereicht, wenn wir auf eine forenseite gegangen sind, auf dem der nicht genannte user eine nachricht geschriben hat und unser pc somit auch sein forenbild hochgeladen hat?

    darf man fragen wer es ist?
    ich würde es auch verstehen, wenn ihr ihn anonym lässt...

    selbst der größte denker nützt einem Volk nichts, welches keine mutigen Feldherrn besitzt!

    black-master

    Wenns sich denn tatsächlich um besagte Schadsoftware handelte, was ich weder bestätigen noch dementieren kann, hätte das gereicht joah.
    Hängt auch n bisschen vom verwendeten Browser resp. seinem Patchstatus ab.
    Kann da keine weiteren Angaben machen, da mir wie gesagt die entsprechende Malware nicht zur Analyse vorliegt.

    Der Name des entsprechenden Forum-Mitglieds ist mir bekannt, möchte es aber Raffsack resp. der Game-Administration überlassen ob dieser genannt wird oder nicht.

    mfg: RedBaron

    T.N.T

    Wennde die Internet Security von Mc Afee hast sollte besagte Schadsoftware gar nich erst auf dein System gekommen sein, resp der Echtzeit Scanner hätte vorher angeschlagen...

    Generell emfiehlt sich aber mindestens einma monatlich nen Komplettscan
    (bei häufigem Surfen, vorallem auch auf zwielichten Seiten öfters.

    mfg: Redbaron

    Grad ein Statement von mir:

    Ich habe antivir auf scharf gestellt. Wie das geht steht hier:

    http://www.trojaner-board.de/5…essive-einstellungen.html

    Damit zeigt er mir auch Sachen an, die er noch nie gebracht hat^^
    Der Komplettscan dauerte 2h, er musste 60 gb durchsuchen

    Spybot lief schon, hat aber nix angezeigt.

    Auch hijackthis hat nur gute Einträge gebracht.

    Als ich den Link verfolgt habe kam ich auf eine Seite mit einem Bild einer Frau mit Rucksack. Links stand ein Menü. Dort hab ich allerdings nirgends draufgeklickt.

    Kann ja auch sein, dass das nicht das bewußte Bild ist.

    Ferner habe ich mit dem FF KEINE sig angezeigt bekommen, auch kein x oder sonst etwas.

    Der Link resp das Bild befanden sich im Thread Chat-Zitate. Wer dort also irgendwo draufgeklickt hat oder ein Bild gesehen hat sollte genauer suchen.
    Alle anderen werden wohl nicht betroffen sein.

    Ich bin dein Gott in dieser Welt. Ein Klick von mir und du bist Geschichte........
    raffsack7ap.gif
    "Manchmal sieht man den Post vor lauter Buchstaben nicht" © by raffsack@yahoo.de

    Ich gestatte mir ma deinen Beitrag direkt zu kommentieren ^^

    Ich will das hier nu nicht zum allgemeinen Computersicherheits-Thread verkommen lassen... ein Tipp hätte ich allerdings noch: WOT - Web of Trust
    http://www.mywot.com/de
    Ist n Browser Plugin das dabei hilft möglicherweise schädliche Webseiten von vornherein zu erkennen.

    mfg: RedBaron

    Also bei mir findet mein Avira Antivir auch nichts. Raffsack schreibt was von einer Frau mit Rucksack und du sagst der Trojaner wäre hier im Forum? was denn nun?

    Weder noch.

    Im Forum ist kein Virus. und auch der Link von redbaron führt zu keinem Virus.
    Ausserdem besteht seit gestern, 13.15 keine Gefahr mehr, sich etwas einzufangen.

    Jeder, der sich den Thread Chat-Zitate angeschaut hat, und zwar VOR gestern 13.15
    und dort Bilder in Signaturen gesehen hat, oder auf ein x bzw einen Link geklickt hat, der ein Bild aufruft das NICHT ein Frau mit Rucksack zeigt,
    kann evtl. einen Trojaner bekommen haben.

    Der Rest braucht sich keine gedanken zu machen. Es sei denn, redbaron ist anderer Meinung.

    Ich bin dein Gott in dieser Welt. Ein Klick von mir und du bist Geschichte........
    raffsack7ap.gif
    "Manchmal sieht man den Post vor lauter Buchstaben nicht" © by raffsack@yahoo.de

    ich erfahre gerade das selbiges angeblich meine signatur war

    das bild wurde per html eingebunden aber die seite von der es kam war ca 3 jahre alt und seit ca 1nem jahr gibt es selbige auch nicht mehr (gerade mal nachgeschaut)

    also kam es entweder wegen eines verweiseses ins nirvanna zu einer fehlermeldung

    oder wgn html elementen, dort wo keine hingehören

    sprich sollte das "bild" in meiner sig gewesen sein besteht keine gefahr und das ganze ist ein fehlalarm aufgrund eines zu aggresiven algorithmus :)

    mfg

    ps.: ich wäre euch sehr verbunden wen ihr mir nochmal den kompletten link sendet dan prüfe ich selber nach ob diese domain genutzt wird und wie

    moin nochma...

    Ich hab mir betreffende Seite nochma angesehen und mich ma durch den source der Page gewühlt.
    Stutzig machten mich die vielen javascript aufrufe und folgender part des sources:

    Dieser Part führte wohl auch zum ansprechen des Kasparsky Scanners...
    Sieht auf den ersten Blick nach nem MDAC Exploit aus.
    Das fehlen von Methoden wie "SaveToFile" und "ShellExecute" deuten jedoch nicht darauf hin.

    Ich habe in diesem zusammenhang in nem Forum ne ähnliche aufgebaute Seite gefunden die im source demontiert wurde...
    Diese diente dazu einen IM sprich Msn-Wurm zu verbreiten der sich selbst als Msn Nachricht weiterverschickt.

    Infos hierzu:

    http://www.bottrax.com/?p=35

    hank
    Den Link dieser Page kann ich dir gerne zustellen...
    Rate aber aufgrund diverser Javascripts die ausgeführt werden und dem teils verschlüsseltem source dringend davon ab und wenn dann nur mittels Browser der in einer Sandbox läuft.

    Seite ist nich sicher!

    mfg: RedBaron

    danke dir allerdings fehlt mir di zeit jetz den gesamten code auseinander zu nehmen um genau zu schauen was selbiger macht

    da jedoch das bild nicht verlinkt wurde musste man schon dem link folgen

    desweiteren ist aquirethisname.com eine weithin bekannte ... wen auch laut diversen aussagen dessen aussagekräftigkeit ich nicht einschätzen kann zwiespältige seite.

    die vielen aufrufe sind unter umständen auch dadurch zu erklären das die seite zugeschnittene werbung zurückgibt

    ich sehe kein hohes sicherheitsrisiko für den benutzer sollte er nicht in die tiefen selbiger gegangen sein

    mfg

    die domain gehört mittlerweile zu einem "domain parking service":P

    Moin moin, war ja im betreffenden Thread unterwegs und habe nur zur Sicherheit nochmal alles gecheckt.
    Konnte bei mir keine Infektion oä. festellen...
    Habe auch keine Lust und Zeit mich mit dem Source zu beschäftigen und scheinbar musste man wirklich erst den Link anklicken und den Aufruf selbst ausführen...wo der dann allerdings hingeht, kp ^^

    Das ist aber nicht das erste Mal das ich hier von Trojanern höre, die sich selbst per MSN Nachricht versenden...aber ob das in Zusammenhang mit dem Forum steht kann ich nicht sagen.

    Gruss

    Allradantrieb bedeutet, daß man erst dort steckenbleibt, wo der Abschleppwagen nicht hinkommt. (Murphy's Gesetz)

    -= FoRk - aka. JaJaBinks / Loki / ... =-

    Auch ich hab alles laufen lassen, incl Kaspersky online scanner. (fast 4h....) Er hat zwar paar Sachen von 2002 gefunden, aber ob das so der Bringer war....^^
    Und da demzufolge mein System clean ist und ich hier ständig überall rumlunger, kann ich mit gutem Gewissen davon ausgehen, dass unser Forum keine Gefahr darstellt.

    Ferner lies was Hank geschrieben hat. Und auch redbaron schreibt, dass es irgendetwas sein KANN.

    Ich bin allerdings der gleichen Ansicht wie Hank, dass der Algorithmus von Kaspersky ziemlich pingelig ist. Denn meine 3 "Infektionen" wurden als sehr niedrig eingestuft, und zwar in allen Kategorien. Wenn man Kaspersky auch darin glauben darf.

    Dafür spricht auch, dass es bei neimandem ausser redbaron zu einer Warnung kam. Und er war sicher nicht der einzige der drin war, und es gibt sicher User die auch etwas anderes als antivir nutzen und den Thread angeschaut haben.

    Auf jeden Fall: Toller Support von dir redbaron!

    Was den source betrifft.. macht euch darüber per pn her *kuss*

    Ich bin dein Gott in dieser Welt. Ein Klick von mir und du bist Geschichte........
    raffsack7ap.gif
    "Manchmal sieht man den Post vor lauter Buchstaben nicht" © by raffsack@yahoo.de

    Der vollständigkeit halber hier noch die Meldungen welcher der Scanner eines meiner Allimitglieder
    ausspuckte:

    gefunden: trojanisches Programm Trojan-Downloader.HTML.Agent.ok
    URL: http://***gatesg1.com/news/wp-content/uploads/2006/09/10f8.jpg

    gefunden: trojanisches Programm Trojan-Downloader.HTML.Agent.ok
    URL: http://***gatesg1.com/

    Besagter Scanner sprang bereits beim öffnen des Threads an und nicht erst bei verfolgung
    des Links.

    Um ganz sicher zu gehen hab ich mir nun nochma die ganze Page inkl. Deeplinks
    via Unix und VM gezogen, gepackt und zwecks Analyse an mein Allimitglied gesendet.
    Und siehe da:

    gefunden: trojanisches Programm Trojan-Downloader.HTML.Agent.ok
    Datei: *:\***\***\***\Meine empfangenen Dateien\suspekt.rar.xy/suspekt\hts-cache\new.zip//
    http://***gatesg1.com/buy/download/stargate/online/
    tv_online.htm?yt=qs%3d06oENya4ZG1YS6vOLJwpLiFbgelS4
    UmiYFS_3GE2BMRpTU4VOMaloAzr30O8NNzeLSqn0MzK5Mr4
    9GhET8Ltbnr6zsRAFhG-ziOHzUzZIo15247zBFl_HAjEC-VrFlag3
    UZEWd_uQocABY1Mt_r048oM49FfmsG

    Eine Analyse des Quellcodes explizit dieser html datei ergab folgendes:

    1. Es sind Cascading Style Sheets von nuseek.com eingebunden.
    WOT hierzu: http://www.mywot.com/de/scorecard/nuseek.com

    2. Es sind Java Scripts von revesci.net implementiert.
    WOT hierzu: http://www.mywot.com/de/scorecard/js.revsci.net

    Fazit: Besagte Site IST und WAR definitiv ZU KEINEM ZEITPUNKT SICHER!

    Sollte noch jemand anderer Meinung sein kann er mich gerne per PN anschreiben.

    Desweiteren such ich nach nem Java Sachverständigen der mir mal ein möglicherweise
    gefährliches Script auf das ich gestossen bin unter die Lupe nehmen kann.

    Thread kann geschlossen werden...

    mfg: RedBaron

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden