Virencounter, postet eure Funde

zählt troj. Pferde, Viren, Bots, Spyware, Dialer

 
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002
Betreff:

Virencounter, postet eure Funde

 ·  Gepostet: 22.08.2005 - 22:13 Uhr  ·  #1
Nun, da ich gestern wieder bei einem Freund über einen üblen Bot/Trojaner gestolpert bin - der Rechner war trotz Firewall völlig unter fremder Kontrolle, möchte ich mal eine unrepräsentative Statistik starten.

Also meldet mal hier eure Funde oder auch die Infektionen, die euch von euren Kunden gemeldet werden ("musste Proficash neu installieren, wir hatten einen Virus").

Wenn´s geht mit genauer Bezeichnung, Betriebssystem und eingesetztem Virenscanner.

Zählt bitte einfach weiter, damit der letzte Post immer die aktuelle Zahl enthält. Ich mache mal den Anfang:

Counter: 1 (Botvirus, genaue Bezeichnung habe ich leider nicht mehr). AVK 2005 (aktuelle ct)
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002
Betreff:

Re: Virencounter, postet eure Funde

 ·  Gepostet: 16.09.2005 - 12:42 Uhr  ·  #2
hab meinen eigenen Thread vergessen:
Kundenmeldungen
letzte Woche: 1 komplett verseuchter Rechner mit Viren und Würmern. Neuinstallation. Rechner Win NT und Chipkartenleser Reiner SCT LPT1 :)

heute: aktives trojanisches Pferd, entdeckt durch Nachinstallation des aktuellen Norton. Win XP, T-Online-Software 6

(kann nicht glauben, das ich der einzige bin, bei dem sich die Leute ausweinen)
Sir_Bandit
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Steinkirchen
Homepage: vb-kehdingen.de
Beiträge: 73
Dabei seit: 11 / 2004
Betreff:

Re: Virencounter, postet eure Funde

 ·  Gepostet: 16.09.2005 - 13:49 Uhr  ·  #3
Nein bist du nicht Raimund :-)

Kumpel rief mich vorgestern an sein PC würde sich merkwürdig verhalten.
System AMD 1GHZ Win 98 bis vor kurzem Viren Scanner und Firewall = 0
Man man ich war doch geschockt wieviel Viren auf einen Computer passen :-) zusätzlich noch dazu malware spyware und win BrowserHijack war auch noch da.
Andreas Drott
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 202
Dabei seit: 10 / 2004
Betreff:

Re: Virencounter, postet eure Funde

 ·  Gepostet: 19.09.2005 - 15:48 Uhr  ·  #4
Jo, schau mer mal, ob ich das richtig mache :roll: :

Counter 3:

War heute bei einem Kunden, weil die VRNWSW das Kennwort nicht mehr akzeptierte bzw schon immer falsch ausgefülllt war. Klickte man in irgendein Textfeld (z. B. Editor, Neuer Ordner umbenennen, etc) wurde immer die Ziffer 8 eingegeben. Die Taste hing definitiv nicht.

Das Problem beim Installieren einer neuen Software war, dass als Zielordner immer nur ein Ordner mit lauter "8"-ern zulies. Existierte der Ordner "888888....", konnte kein weiterer Ordner ausgewählt werden. Nur mit ein paar Tricks konnten wir AdAware, Spybot und AVG installieren.

Das Problem konnten wir nicht beseitigen. AdAware hat zwar 24 Treffer gefunden, aber das Problem bestand nach wie vor. SpyBot beseitigte eine Malware, danach stürzte das Programm mit einer Fehlermeldung ab.

AVG erkannte, dass Antivir mit dem Trojaner "IRC/BackDoor.SdBot.42.AF infiziert war.
Im Taskmanager fand ich die Datei wuauclt.exe (ausgeführt vom Benutzer und vom System). Nach der Deaktivierung eines Prozesses wurde immer wieder reingeschrieben.
Google sagte mir später, dass die Datei für das automatische Windows-Update zuständig ist, aber auch oft von einem Virus oder so vergewaltigt wird.

Da es sich um eine Firma handelte, haben wir den Kunden an seinen PC-Techniker verwiesen. Wir wussten nicht mehr weiter, weil das Installieren und Update sehr schwierig erwies (Versucht mal eine Verbindung mit einem DFÜ-Netzwerk herzustellen (kein DSL), wenn beim Kennwort lauter "8"er geschrieben werden, bevor und nachdem Du ein Zeichen geschrieben hast :noidea:

Gruß

Andy
maxxy
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 46
Dabei seit: 04 / 2005
Betreff:

Re: Virencounter, postet eure Funde

 ·  Gepostet: 20.09.2005 - 12:47 Uhr  ·  #5
Ich möchte hier ein gezieltes Vorgehen vorschlagen. Vielleicht kennt Ihr alle die Firma Norman. Diese betreibt seit geraumer Zeit eine öffentliche Version ihrer Sandbox. Mittels dieser ist es möglich eine weitgehende Analyse über entsprechende Malware zu erhalten.

Das läuft dann so:

Malware hochladen, Emailadresse eingeben.. Und einige Minuten später erhält man einen tollen Bericht per Email.

Die entsprechende Sandbox findet Ihr unter

sandbox.norman.no

Das wäre sehr interessant die entsprechenden Berichte hier "gepostet" vorzufinden.
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002
Betreff:

Re: Virencounter, postet eure Funde

 ·  Gepostet: 21.10.2005 - 18:43 Uhr  ·  #6
so, sitze gerade mit einem Kunden bei einer Proficash Install. Da sich der Rechner etwas merkwürdig verhielt...
Zitat
C:\WINDOWS\system32
msua.exe
[FUND!] Ist das Trojanische Pferd TR/Drop.Juntador.C.42
WURDE GELÖSCHT!
gamma.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.21102
WURDE GELÖSCHT!
63mm.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.HO
WURDE GELÖSCHT!


schönes Wochenende!
Raimund
Gewählte Zitate für Mehrfachzitierung:   0