• Herzlich Willkommen!

    Nach der Schließung von inDiablo.de wurden die Inhalte und eure Accounts in dieses Forum konvertiert. Ihr könnt euch hier mit eurem alten Account weiterhin einloggen, müsst euch dafür allerdings über die "Passwort vergessen" Funktion ein neues Passwort setzen lassen.

    Solltet ihr keinen Zugriff mehr auf die mit eurem Account verknüpfte Emailadresse haben, so könnt ihr euch unter Angabe eures Accountnamens, eurer alten Emailadresse sowie eurer gewünschten neuen Emailadresse an einen Administrator wenden.

Viren in Java?

Wetterfrosch

Wetterfrosch

Mitglied
Registriert
20 Juli 2006
Beiträge
359
Hallo ihr,

ich habe heute gesehen, dass von AntiVir eine neue Version veröffentlicht wurde (die "2012"er Version), und deswegen diese neuinstalliert, auf den aktuellsten Stand geupdatet und einmal meinen ganzen PC überprüfen lassen.

Wider Erwarten hat das Programm doch etwas gefunden, siehe den folgenden Auszug aus der Log-Datei:

Beginne mit der Suche in 'B:\' <Volume>
Beginne mit der Suche in 'C:\'
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\7f1f9ccd-1405cd48
[0] Archivtyp: ZIP
--> buildService/MailAgent.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AO
--> buildService/VirtualTable.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AO
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\5a3c9412-2f9e5629
[0] Archivtyp: ZIP
--> support/Pipe.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
--> support/Socket.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\272b4e93-4db10ff3
[0] Archivtyp: ZIP
--> ClassPol.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.1184
--> padle.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.1504
--> hubert.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.4794
--> CusBen.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.7976
--> Trollllllle.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.4653
--> Clrepor.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.1113
--> Cload.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.3130
--> novell.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.838
--> huiak.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.10515
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\17994bdc-7439c394
[0] Archivtyp: ZIP
--> support/ForMail.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.H
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\e8acb05-19b7036e
[0] Archivtyp: ZIP
--> buildService/MailAgent.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.LK
--> buildService/VirtualTable.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AN
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\16dbbcf7-2f9a77fe
[0] Archivtyp: ZIP
--> buildService/MailAgent.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AO
--> buildService/VirtualTable.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AO
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\620ba3f7-68f5ffdf
[0] Archivtyp: ZIP
--> support/Pipe.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
--> support/Socket.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\14a81db9-3a382c2e
[0] Archivtyp: ZIP
--> mail/MailAgent.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.BZ
--> mail/VirtualTable.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\2fbecbbc-2cf0a3b1
[0] Archivtyp: ZIP
--> support/Pipe.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
Zum Vergrößern anklicken....

Wie ihr sehen könnt stammen alle diese Funde aus dem Verzeichnis "Java/Deployment/cache", weswegen ich etwas irritiert bin, denn unter einem "Cache" verstehe ich einen temporären Speicher. Von daher meine erste Frage, ob das vielleicht ein Fehlalarm ist?

Ich gehe mal davon aus, dass dem nicht so ist. Würde es dann reichen, Java einfach zu deinstallieren und manuell sicherzustellen, dass dieser Ordner auch wirklich komplett gelöscht ist. Anschließend würde ich dann das betreffende Programm wieder installieren wollen. Da stellt sich nur die Frage, um welches Java-Programm es sich überhaupt konkret dreht und woher ich das bekomme. (Ich habe zumindest bewusst kein Java auf diesem Laptop selber installiert, gehe also davon aus, dass der betreffende Ordner bzw das zugehörige Java-Programm bereits vorinstalliert war.)


Über jede Hilfe würde ich mich sehr freuen!!

Viele Grüße, Wetterfrosch
 
Hallo Wetterfrosch.

denn unter einem "Cache" verstehe ich einen temporären Speicher.
Zum Vergrößern anklicken....
Das ist auch vollkommen richtig. Solange der Schädling aus der Sandbox nicht ausbrechen konnte, sind derartige Einträge kein großes Problem. Aber das...
Ich habe zumindest bewusst kein Java auf diesem Laptop selber installiert, gehe also davon aus, dass der betreffende Ordner bzw das zugehörige Java-Programm bereits vorinstalliert war.
Zum Vergrößern anklicken....
...ist natürlich sehr schlecht. Wenn Java nicht ausreichend mit Patches versorgt wurde, klaffen je nach Version mehrere Sicherheitslücken. Dann könnte der Exploit auch durchaus erfolgreich gewesen sein.
Würde es dann reichen, Java einfach zu deinstallieren und manuell sicherzustellen, dass dieser Ordner auch wirklich komplett gelöscht ist.
Zum Vergrößern anklicken....
Das würde dahingehend reichen, dass über den Zustand des Rechners und ob oder welche Infektion vorliegt, nun genau gar keine Aussage mehr getroffen werden kann.

Es stellt sich folgendes Problem:
Welche Version von Java war genau zu dem Zeitpunkt installiert, als diese Dateien im Cache abgelegt wurden? Die damals aktuelle oder eine andere? Die Frage dürfte unmöglich zu beantworten sein.

Was kannst du tun:

1.) Existieren die Funde noch in der Quarantäne oder wurden die gleich gelöscht?
2.) Starte dieses Scan: http://secunia.com/vulnerability_scanning/online/ und poste im Anschluss das Ergebnis hier.
 
Zuletzt bearbeitet:
Vielen Dank schonmal für deine Antwort!

RoMa schrieb:
...ist natürlich sehr schlecht. Wenn Java nicht ausreichend mit Patches versorgt wurde, klaffen je nach Version mehrere Sicherheitslücken. Dann könnte der Exploit auch durchaus erfolgreich gewesen sein.

(...)

Es stellt sich folgendes Problem:
Welche Version von Java war genau zu dem Zeitpunkt installiert, als diese Dateien im Cache abgelegt wurden? Die damals aktuelle oder eine andere? Die Frage dürfte unmöglich zu beantworten sein.
Zum Vergrößern anklicken....

Doch, diese Frage kann ich sogar beantworten. Ich habe zwar keinerlei Java-Programme selber installiert, aber die "Java-Updates" (aktuell Version 26 bzw 16 für 64-bit) immer sofort installiert, wenn eine derartige Meldung kam. Das hatte ich wohl weiter oben etwas missverständlich ausgedrückt. Ich war (und bin es mir im Grunde immer noch) nicht ganz darüber im Klaren wozu der genannte Ordner "Java/Deployment/cache" gehört, da ich neben dem vorinstallierten Java auch Eclipse installiert habe.

Daher auch meine Frage von vorher: wenn dieser Ordner von dem vorinstallierten Java kommen sollte, so würde ich gerne herausfinden, was genau da vorinstalliert war um dieses gegebenfalls zu de- und wieder neuinstallieren zu können. Das sollte in meinen Augen die sauberste Lösung sein, um diesen Ordner wieder "sauber" zu bekommen.

RoMa schrieb:
(...) Was kannst du tun:

1.) Existieren die Funde noch in der Quarantäne oder wurden die gleich gelöscht?
2.) Starte dieses Scan: Secunia - The Leading Provider of Vulnerability Management and Vulnerability Intelligence Solutions und poste im Anschluss das Ergebnis hier.
Zum Vergrößern anklicken....

Die Funde existieren noch an Ort und Stelle, da ich sie sicherheitshalber noch nicht verschieben oder geschweige denn löschen wollte, ohne genaueres darüber zu wissen.

Den Scan werde ich bei nächster Gelegenheit durchführen. Das kann leider (Umzug...) noch ein paar Tage dauern, aber solange wird dieser Laptop auch ruhen. Ich melde mich aber auf jeden Fall wieder mit den Ergebnissen.
 
Zuletzt bearbeitet:
OK, das sieht so schlecht mal nicht aus zumal du sehr überlegt, also vollkommen untypisch, gehandelt hast.

Mein Vorschlag:
- Alle verdächtigen Dateien in die Quarantäne verfrachten.
- AntiVir vorübergehend deaktivieren.
- Die Dateien auf einer der u.g. Seiten untersuchen lassen und sich die Ergebnisse ansehen - ein Fehlalarm wäre gerade bei AntiVir auch sehr gut möglich.
VirusTotal - Free Online Virus, Malware and URL Scanner
VirSCAN.org - Free Multi-Engine Online Virus Scanner v1.02, Supports 37 AntiVirus Engines!

Daher auch meine Frage von vorher: wenn dieser Ordner von dem vorinstallierten Java kommen sollte, so würde ich gerne herausfinden, was genau da vorinstalliert war um dieses gegebenfalls zu de- und wieder neuinstallieren zu können. Das sollte in meinen Augen die sauberste Lösung sein, um diesen Ordner wieder "sauber" zu bekommen.
Zum Vergrößern anklicken....
Ja, der Ordner stammt von der Javainstallation. Es sollte allerdings nicht deine erste Sorge sein, diesen wie auch immer von den verdächtigen Dateien zu befreien - das ist das kleinste bzw. gar kein Problem. Viel wichtiger ist sicherzustellen, dass keine Infektion des kompletten Systems erfolgen konnte. Alles andere kommt später.

Stichwort "System": Welches OS? Admin oder Benutzer? UAC aktiv oder nicht?
 
Danke für deine Antwort!


Resultat des Secunia-Scans:

Erkennungsstatistik:
4 Anwendungen insgesamt gefunden
0 unsichere Versionen gefunden
4 gesicherte Versionen gefunden

Fehler beim Scan-Vorgang:
0 Fehler aufgetreten, Scan-Ergebnisse sollten stimmen

Stand / Aktuell verarbeitet:
Detection completed successfully
Zum Vergrößern anklicken....


Scannen der infizierten Dateien durch Virus-Total:

Virus-Total Ergebnis, Datei 1:

VirusTotal - Free Online Virus, Malware and URL Scanner

Virus-Total Ergebnis, Datei 2:

VirusTotal - Free Online Virus, Malware and URL Scanner

Virus-Total Ergebnis, Datei 3:

VirusTotal - Free Online Virus, Malware and URL Scanner

Virus-Total Ergebnis, Datei 4:

VirusTotal - Free Online Virus, Malware and URL Scanner

Virus-Total Ergebnis, Datei 5:

VirusTotal - Free Online Virus, Malware and URL Scanner

Virus-Total Ergebnis, Datei 6:

VirusTotal - Free Online Virus, Malware and URL Scanner

Virus-Total Ergebnis, Datei 7:

VirusTotal - Free Online Virus, Malware and URL Scanner

Virus-Total Ergebnis, Datei 8:

VirusTotal - Free Online Virus, Malware and URL Scanner

Virus-Total Ergebnis, Datei 9:

VirusTotal - Free Online Virus, Malware and URL Scanner
Zum Vergrößern anklicken....



Stichwort "System": Welches OS? Admin oder Benutzer? UAC aktiv oder nicht?
Zum Vergrößern anklicken....

Betriebssystem ist Win7 (64-bit) als Administrator (bin sowieso der einzige Benutzer dieses Laptops...). Die UAC ist (leider) deaktiviert, da es bei irgendeinem Spiel ansonsten massive Probleme gab.


Ich selber lese aus den oberen Daten nur heraus, dass alle meine (nur 4?) getesteten Programme auf dem aktuellen Stand sind. Alle Dateien sind wahrscheinlich in der Tat infiziert (immer um die 20 bis 30 von 43 Meldungen).

Ich persönlich würde immer noch einfach Java neuinstallieren und dann nochmals einen kompletten Scan-Vorgang machen. Dabei kann eigentlich nichts schief gehen, außer, dass mir die "Original-Virus-Dateien" verloren gehen, oder?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben