trojaner vom forum verteilt

[bigAl2]

nai:

könnte man einen thread in jedem forum zu diesem thema erstellen?

nicht jeder liest die news und nur SEHR wenige das KLA forum..

zumindest im comm fänd ich es noch eine gute idee.

ich bin sicher noch immer wissen viele nichts von ihrer infektion.

*eigentlich* wäre eine PM an jeden nutzer angebracht.

 

[RoMa]

PlanetDiablo hats dick erwischt, aber neue erkenntnisse haben wir auch nicht.

Hier

So, wer es sich antun möchte, darf sich das Malheur hier ansehen: http://anubis.iseclab.org/?action=result&task_id=1d7b199d27872ad8445110d66f3545a92&format=html

Der Schädling setzt eine Fülle von Prozessen in Gang, injiziert seinen Code in zwei Windowskomponenten, telefoniert dabei an installierten Firewalls vorbei nach hause und legt mindestens die unten verlinkten Schädlinge(und weiteren bisher nicht identifizierten Kram) auf dem Rechner ab:
http://www.virustotal.com/analisis/...21e128e2116d4ea40a065beb098f789c81-1262784260
http://www.virustotal.com/analisis/...3ba7b81aac07753e8666b93e243e7f5991-1262888051

Hier handelt es sich aber nur um den Arbeitsnachweis einer Datei, die mir zugesandt wurde. Da ist durchaus noch mehr in der Leitung, wenn man weiß, dass Bredolab in direktem Zusammenhang mit Sachen wie RENOS (File-Downloader), FakeAV (anhand der VT-Ergebnisse oben zu sehen), Rootkits und Spambots wie Cutwail steht.

Nachtrag: Bei Threatexpert sieht das ganze dann so aus: http://www.threatexpert.com/report.aspx?md5=4e9b5c592f4c5e71d658247bedf4e0eb
Was sagt uns das? Dass der Schädling leider schlauer ist als die Sandbox von TE....er erkennt die Sandbox und stellt sich schlicht tot (Ein weiteres Feature von Bredolab).


Weiteres Hintergrundwissen dazu: http://www.viruslist.com/de/analysis?pubid=200883669

und hier

Sorry, dass ich hier den Thread so zuspamme, aber folgt man dem Kasperskylink oben, dann ergibt sich ein wunderbar passendes Bild. Zusammenfassung:

1.) Wie erwartet, wurden beim ersten Besuch der Seite zusammen mit index.php auch Exploits geladen.

2.) Durch das Ausnutzen dieser Sicherheitslücken erfolgten dann der Download und die Installation der auszuführenden Datei Backdoor.Win32.Bredolab. Mit seiner Rootkit-Funktionalität lädt und installiert dieses Schadprogramm weitere Schadenssoftware auf den Computer.

3.) Ist das Botprogramm mit dem Command-&-Control-Server verbunden, wird das Schadprogramm Trojan-PSW.Win32.Agent.mzh auf das infizierte System herunter geladen und installiert. Dieses Programm stiehlt dann Passwörter für den Zugang auf FTP-Clients.

habe ich versucht, den Infektionshergang einigermaßen zu beschreiben. Sicherlich ist das nicht vollständig, keine Frage, aber immerhin besser als das was auf der Mainpage steht. Dazu gehört es auch dem Kind einen Namen (Bredolab) zu geben.
Und der Tipp

Ein kostenloser Virenscanner, der den Trojaner entfernen kann, ist avast.

ist sicherlich gut gemeint, wird aber letztlich niemandem helfen sein System wieder in Ordnung zu bringen. Ein musthave wäre IMO der Hinweis gewesen, dass alle Opfer nach einer Neuinstallation oder auch dem Löschen aller Funde ihre Passwörter ändern sollten. "Gewesen" deshalb, weil das jetzt sowieso schon zu spät ist.

Edit: Über den Linkkürzer gestolpert. Jetzt passt es.

 

[Nai]

über eine aktuellere news und ein announcement (=thread in den foren) mögen meine mitgrünen entscheiden, ich bin immernoch abgekapselt und kann mich schlecht beratschlagen.

 

[DonKrawallo]

...
ich bin immernoch abgekapselt und kann mich schlecht beratschlagen.

Soll das etwa heissen, daß du der Übeltäter bist und jetzt in Quarantäne schmoren mußt ?

 

[Nai]

das heißt, dass ich wie viele andere diese geschichte als anlass nehme, meinen pc neu aufzusetzen und bei dieser gelegenheit abschied von mirc genommen habe und auf eine kostenpflichtige software umsteige, wo ich grad auf die lizenz warte
und avira ist auch sofort ersetzt worden

 

[KingKongo]

Soll das etwa heissen, daß du der Übeltäter bist und jetzt in Quarantäne schmoren mußt ?

Selbst wenn würde es uns ohnehin niemand sagen. Das ist auch gut so.

Ich finde man kann es ja auch übertreiben, das hätte jeden passieren können sowas.

Es waren ja auch in der Vergangenheit auch Seiten wie Heise.de und diverse Antiviren Hersteller Seiten betroffen. Da gehst druff mit einem z.B. Virenscanner welcher den Schädling nicht erkennt und zack haste den.

Ich denke nicht das der oder die Person von Ingame welche das Chaos verursacht hat auf irgendwelchen dubiosen Seiten war.

MfG

Kongo

 

[Arghm4n0]

Erm,

zunächst mal bin ich mir nicht sicher, ob ich am 5.1. auf PlanetDiablo war (ich check zwischendrin immer nur mal die News) aber mir ist am 6.1. Windows verreckt. Der Windows Logon Process wurde immer unerwartet beendet. Kanns da nen zusammenhang zwischen dem Trojaner und diesem Fehler geben?

Ich hatte dann die Festplatten ausgebaut um die Daten per externem Gehäuse auf meiner anderen Externen zu sichern. Hab die dann auch an meinem Laptop ausprobiert. Wenn ich nun nur die externen Platten geöffnet, also nicht darauf kopiert oder sonst was habe, ist's dann möglich, dass auch der Laptop nun diesen Mist abbekommen hat?

Das seltsame war einfach, dass der PC 2 Stunden vorher normal funktioniert hat. Dann hab ich meine Freundin zum Bahnhof gebracht und als ich ihn wieder hochfahren wollte kam permanent der Bluescreen :S

Edit: Achja, wäre interessant von wann bis wann der Trojaner online war. Ich war ab ca. 15:40 am 5.1. unterwegs (bis ca.21 Uhr,danach eigentlich auch nicht mehr auf PlanetDiablo.eu)

Sich selbst quoten ist dumm, noch dümmer wäre aber dafür nen eigenen Thread zu machen, damit mir jemand hilft. Den originalPost wird nur niemand mehr lesen, da der schon paar Seiten weiter hinten steht.

Ich hab meine Fragen mal noch deutlicher gemacht, vielleicht bekomm ich ja nun Antworten :S Zumindest die letzte sollte doch beantwortbar sein!

 

[DonKrawallo]

...
und avira ist auch sofort ersetzt worden

Ist doch Blödsinn,
Nur weil AVAST oder NORTON diesmal die Nase vorn haben werde ich doch nicht auf einen anderen Virenscanner umsteigen,
dessen Besonderheiten ich dann erst noch kennen lernen muß. Einmal abgesehen davon, daß mir AVAST bei dem nachgeladenen Rootkit auch nicht geholfen hat.
Das einzige das noch geholfen hat war doch glatt MS$ mit der Installations-CD von Windows XP.
Gut, von AVIRA bin ich ehedem auch umgestiegen, aber nur weil es dort eine Zeit lang unablässig Probleme mit dem Update gab.

 

[bigAl2]

du bist voll in die zeit gerasselt und auf grund der beschreibung wahrscheinlich dabei.

ob externe platten infiziert wurden hängt vom nachgeladenen content ab und ist so nicht zu beantworten.

 

[bigAl2]

Ist doch Blödsinn,
Nur weil AVAST oder NORTON diesmal die Nase vorn haben werde ich doch nicht auf einen anderen Virenscanner umsteigen,
dessen Besonderheiten ich dann erst noch kennen lernen muß. Einmal abgesehen davon, daß mir AVAST bei dem nachgeladenen Rootkit auch nicht geholfen hat.
Das einzige das noch geholfen hat war doch glatt MS$ mit der Installations-CD von Windows XP.
Gut, von AVIRA bin ich ehedem auch umgestiegen, aber nur weil es dort eine Zeit lang unablässig Probleme mit dem Update gab.

naja.. avast scheint geholfen zu haben das rootkit erst gar nicht zu bekommen..

edit:
me bad double post
und mal im ernst: norton war schon immer scheisse. selbst wenn es viel finden würde: der rechner wird/wurde langsam ohne ende

 

[Arghm4n0]

Mit unterwegs meinte ich nicht "im Forum unterwegs" sondern in der Stadt ^^

 

[Nai]

avira hat mir bei dieser sache einfach gezeigt, daß ich mit anderer software evtl besser gefahren wäre - also steige ich nun auf kostenpflichtige software um, ich habe wirklich keinen grund, bei avira zu bleiben

 

[Kanexa]

Hi!

Wichtig für die India-Mitarbeiter!

Vorweg - ich war nicht im angegeben Zeitraum auf den Seiten von PlanetDiablo. Es war nicht einmal der Rechner an. (Ich weiß nicht genau, wann ich ihn aus gemacht habe, es wird wohl ca 14:00 Uhr gewesen sein. Angeschaltet wurde er wieder ca 19:30 Uhr.)

Dabei konnte ich beim Laden der abonnierten India-Themen aus dem Augenwinkel ein Zugriff auf irgendeine bank-of-america ... blabla durchhuschen sehen.

Und nachdem dies nun als definitver Beweis für unsaubere Aktivitäten gilt, habe mir vorhin die neue c't gekauft und das System tiefprüfen lassen.

Derzeitiges Ergebnis:

Ein potenzielle Infektion und zwar eine dubiose Reboot.exe im Autostart-Folder, die da eigentlich nicht hingehören sollte. Ich kann nicht zweifelsfrei klären, ob es sich um einen Schadcode handelt, aber im Netz wird empfohlen, diese Datei zu enfernen.

Aber jetzt die wirklich wichtige Information ...

Erstellt wurde diese Datei am 06.01. um 11:35 UHR !!!

EDIT: OK, ich hab's inzwischen gerafft, das war einen Tag NACH dem Befall!


Gruß

PS:

Naja: Ich hatte das um 15:58 im irc gemeldet; anderthalb Stunden später war die Seite samt Trojaner immer noch online.

Stimmt das eigentlich? Ihr habt nicht mal schnell den Stecker gezogen und eure Seiten SOFORT vom Netz getrennt - obwohl ihr von der Infektion wußtet????

Und zwar egal wieviele Leute gerade an dem Problem arbeiten?

Recht blauäugig, denke ich mal.

Das euch da nicht mal einer wegen (grober) Fahrlässigkeit verklagt ...

 

[RoMa]

Ein potenzielle Infektion und zwar eine dubiose Reboot.exe im Autostart-Folder, die da eigentlich nicht hingehören sollte. Ich kann nicht zweifelsfrei klären, ob es sich um einen Schadcode handelt, aber im Netz wird empfohlen, diese Datei zu enfernen.

Hast du die Datei noch? Falls ja bitte Kontaktaufnahme via PN.

 

[Pitti911]

Hi!

Wichtig für die India-Mitarbeiter!

Vorweg - ich war nicht im angegeben Zeitraum auf den Seiten von PlanetDiablo. Es war nicht einmal der Rechner an. (Ich weiß nicht genau, wann ich ihn aus gemacht habe, es wird wohl ca 14:00 Uhr gewesen sein. Angeschaltet wurde er wieder ca 19:30 Uhr.)

Dabei konnte ich beim Laden der abonnierten India-Themen aus dem Augenwinkel ein Zugriff auf irgendeine bank-of-america ... blabla durchhuschen sehen.

Und nachdem dies nun als definitver Beweis für unsaubere Aktivitäten gilt, habe mir vorhin die neue c't gekauft und das System tiefprüfen lassen.

[...]

Aber jetzt die wirklich wichtige Information ...

Erstellt wurde diese Datei am 06.01. um 11:35 UHR !!!

Und in der Zeit war ich eigentlich (jedenfalls meiner Erinnerung nach) nur im Forum unterwegs.

Damit explodiert euer Zeitfenster ganz gewaltig ...

Das finde ich wirklich wirklich bedenklich.

Naja: Ich hatte das um 15:58 im irc gemeldet; anderthalb Stunden später war die Seite samt Trojaner immer noch online.

Stimmt das eigentlich? Ihr habt nicht mal schnell den Stecker gezogen und eure Seiten SOFORT vom Netz getrennt - obwohl ihr von der Infektion wußtet????

Und zwar egal wieviele Leute gerade an dem Problem arbeiten?

Recht blauäugig, denke ich mal.

Das euch da nicht mal einer wegen (grober) Fahrlässigkeit verklagt ...

Ja genau dem kann ich nur zustimmen. Ich kam am 5.1. gegen genau 17:19Uhr hier auf die Seite. (eigentlich den SchickePics aber naja)
Avira hat bei mir (ich habe extra nochmal in den Ereignissen nachgeschaut) Einen Angriff erfolgreich verhindert.

Das was mich nur wirklich entrüstet(das habe ich hier im Thread auch schon mehrfach versucht zu verstehen zu geben, wurde jedoch jedes mal übergangen) ist, dass trotz des Wissens seitens Ingame über den Trojaner der Netzstecker NICHT gezogen wurde.

Wenn ich die Seite (und besonders die Community) nicht so sehr mögen würde, dann würde ich das sogar in erwägung ziehen - schon alleine um dafür zu sorgen, das so eine Sache nicht noch ein mal passiert.

Denn das DARF nicht passieren.

Gruß Pitti

 

[MinervasPet]

Ein potenzielle Infektion und zwar eine dubiose Reboot.exe im Autostart-Folder, die da eigentlich nicht hingehören sollte. Ich kann nicht zweifelsfrei klären, ob es sich um einen Schadcode handelt, aber im Netz wird empfohlen, diese Datei zu enfernen.

Aber jetzt die wirklich wichtige Information ...

Erstellt wurde diese Datei am 06.01. um 11:35 UHR !!!

hast du die Datei noch sie ist ja einfach zu finden schau dir bitte das Datum an wann sie erstellt wurde !!!

 

[Kanexa]

hast du die Datei noch sie ist ja einfach zu finden schau dir bitte das Datum an wann sie erstellt wurde !!!

Boa, das ist ja mal kraß. Hast recht. Einen Tag vorher war der Dreck hier...

Ich nehm zumindest den Vorwurf zurück und editier gleich mal das Post.

THX für die Aufmerksamkeit!

Gruß

 

[MinervasPet]

hier stand müll

 

[mfb]

Das Zeitfenster ändert sich gar nicht, da der Trojaner nachträglich weitere Dateien herunterläd.


>> Stimmt das eigentlich? Ihr habt nicht mal schnell den Stecker gezogen und eure Seiten SOFORT vom Netz getrennt - obwohl ihr von der Infektion wußtet????
Wir sitzen nicht alle direkt neben dem Netzstecker - der noch dazu ohnehin nicht bei ingame ist, sondern bei unserem Host. Schneller ging es nicht, auch wenn das hier sicher keiner schön findet (wir ja auch nicht), ist es so.
Auch wenn das kein Grund ist, sich zurückzulehnen: Verglichen mit einigen anderen Seiten (darunter eine Konkurrenzseite ;)) waren wir noch relativ schnell. Und wir arbeiten daran, aus den Fehlern zu lernen und noch schneller zu sein, sollte irgendwas in der Richtung je wieder passieren.

 

[Kanexa]

Hi!

Das Zeitfenster ändert sich gar nicht, da der Trojaner nachträglich weitere Dateien herunterläd.

Yepp, hast recht. Aber du wußtest nicht, daß ich die Daten verwechselt hatte und annahm, die Installation der Datei bei mir sei am 05.01. 11:35 Uhr aufgetreten. Und dann hätte sich der Infektionszeitraum um mehr als 4 Stunden nach unten verlängert.

Bleibt trotzdem die Frage, wieso mein Browser 19:30 Uhr bank-of-america vom Forum aus anrufen wollte, wenn angeblich alles wieder OK war ...

Wir sitzen nicht alle direkt neben dem Netzstecker - der noch dazu ohnehin nicht bei ingame ist, sondern bei unserem Host. Schneller ging es nicht, auch wenn das hier sicher keiner schön findet (wir ja auch nicht), ist es so.
Auch wenn das kein Grund ist, sich zurückzulehnen: Verglichen mit einigen anderen Seiten (darunter eine Konkurrenzseite ) waren wir noch relativ schnell. Und wir arbeiten daran, aus den Fehlern zu lernen und noch schneller zu sein, sollte irgendwas in der Richtung je wieder passieren.

Ich habe nicht wirklich angenommen, daß eine Person (physisch) neben einem netten dicken Kabel sitzt und immer die Hand drauf hat.

Aber meine (bescheidenen) Computerkenntnisse lassen mich (stark) vermuten, es gibt durchaus Möglichkeiten, die entsprechenden (eigentlich alle) Dateien emergency-mäßig vom Netz zu kappen. und wenns nur über die Änderung der Zugriffsrechte ist ...

Gruß