Vielen ist gestern ein merkwürdiges Verhalten des Forums aufgefallen, mancher hat anschließend verdächtige Dateien auf seiner Festplatte entdeckt. Die Lösung dieses Rätsels ist ebenso einfach wie unbequem.
Ein Staffmitglied, das einen FTP-Zugang bei indiablo und
inwow hatte,
hat sich auf seinem privaten Rechner einen Trojaner eingefangen,
der das Passwort für diese FTP-Zugänge ausspioniert hat.
Wie der Trojaner auf dieses System gelangt ist, wissen wir nicht – der PC war gut
geschützt und auch nicht auf irgendwelchen dubiosen Seiten unterwegs.
Dadurch haben Angreifer gestern gegen 16:00 alle .js und index.php Dateien von
indiablo und inwow manipulieren können, so dass der Trojaner „Illredir-B“ heruntergeladen wurde.
Dieser hat dann auf infizierten Systemen weitere Dateien heruntergeladen,
die sich von System zu System etwas zu unterscheiden scheinen. Gefunden wird Illredir-B von Avast,
von Antivir im allgemeinen nicht. Am frühen Abend waren alle infizierten Dateien entfernt
und wurden dann durch Backups ersetzt.
Einige Anzeichen für einen Befall sind folgende Dateien/Prozesse:
- Schön zu sehen hier mit Screenshot
von Caligula - Ein weiterer Post von Caligula, nachdem er
noch mehr Schädlingsdateien entdeckt hat - „siszyd32.exe“ im Autostart (Start->Ausführen->msconfig->Systemstart)
- C:\Dokumente und Einstellungen\user\Startmenü\Programme\Autostart\siszyd32.exe
- C:\Dokumente und Einstellungen\user\Anwendungsdaten\security tool.exe
- C:\Dokumente und Einstellungen\user\Anwendungsdaten\avdrn.dat
- C:\Windows\system32\fjhdyfhsn.bat
- C:\Windows\system32\mobscapp.dll
- C:\Windows\Prefetch\~TM183.TMP-313BE6EF.pf
- C:\Windows\Prefetch\~TM184.TMP-1DC2F6C3_pf
- C:\Windows\Prefetch\~TM186.TMP-32F64635_pf
- C:\WINDOWS\Temp\~TM39DC.tmp
- C:\WINDOWS\Temp\~TM183.tmp (und wohl noch weitere ähnliche)
- C:\WINDOWS\Temp\_ex-68.exe
- Registry-Befall: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
(eine ca. zehnstellige Zahlenkolonne, Zahlen nach jedem Neustart anders)
Ein kostenloser Virenscanner, der den Trojaner entfernen kann, ist avast.
In diesem Thread sind Methoden dokumentiert, um den Befall möglichst sicher vom System zu verbannen.
Ein weiterer Post weist auf die der aktuellen c’t beiliegende CD hin, die
nützliche Tools enthält.
Wir hoffen, dass durch diesen bedauerlichen Zwischenfall nicht zu viel Schaden entstanden ist. Entschuldigt bitte die späte Benachrichtigung, in der Aufruhe sind leider interne Missverständnisse aufgetreten.
Wir hoffen, mit den gesammelten Informationen und weiterführenden Links dem ein- oder anderen noch
Hilfestellungen geben zu können.