Lars 2
2004-08-06, 20:15:25
Hallo Forum, wie der Titel schon sagt, heute bin ich leider fündig geworden!;(
Vor paar Tagen auf einschlägigen XXX-Seiten, meldete F-Secure schon mal 2 Trojaner, die, wenn ich mich recht erinnere, im Cache von Mozilla entdeckt wurden, allerdings teilte mir der Virenscanner gleich mit, die besagten Dateien seien gelöscht worden. Darauf vertauend war die Sache für mich erledigt.
Nachdem mir der Esel in den letzten Tagen häufiger mal abstürzte und sich auch zwei, drei mal die Bildschirmauflösung spontan änderte, wenn ich ein Video mit dem Media-Player öffnete, was ich zunächst auf den neuesten Nvidia-Treiber zurückführte;) (Wobei das auch weiterhin am Treiber gelegen haben kann!), habe ich mich schließlich entschlossen meine beiden Platten zu durchsuchen! Vorher habe ich, wie empfohlen, die Schutzstufe auf hoch gesetzt und dann ohne Ausnahme alle Dateien überprüfen lassen.
Nach dem Scan staunte ich nicht schlecht, als sage und schreibe 14 Trojaner gefunden wurden! Und das bei ständig laufenden F-Secure mit der integrierten Firewall. :o
Alle Trajaner hatten sich tief in Java eingenistet, manche sogar mehrmals. Hier ein Auszug aus dem Protokoll:
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\GetAccess.class Infektion: Trojan.Java.ClassLoader.c
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\InsecureClassLoader.class Infektion: Exploit.Java.Bytverify
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\Dummy.class Infektion: Trojan.Java.ClassLoader.Dummy.a
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\Installer.class Infektion: TrojanDownloader.Java.OpenConnection.f
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\Beyond.class Infektion: Trojan.Java.Shiwow
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\counter.class Infektion: Trojan.Java.ClassLoader.b
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\Dummy.class Infektion: Trojan.Java.ClassLoader.Dummy.c
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\VerifierBug.class Infektion: Exploit.Java.Bytverify
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\load eradv78.jar-27714795-5b0e80b9.zip\Counter.class Infektion: Trojan.Java.ClassLoader.h
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\load eradv78.jar-27714795-5b0e80b9.zip\Matrix.class Infektion: TrojanDownloader.Java.OpenStream.c
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\load eradv78.jar-27714795-5b0e80b9.zip\Parser.class Infektion: Trojan.Java.ClassLoader.d
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\x4yi pafw1.jar-35676b62-39de62de.zip\counter.class Infektion: Trojan.Java.ClassLoader.b
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\x4yi pafw1.jar-35676b62-39de62de.zip\Dummy.class Infektion: Trojan.Java.ClassLoader.Dummy.d
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\x4yi pafw1.jar-35676b62-39de62de.zip\VerifierBug.class Infektion: Exploit.Java.Bytverify
F-Secure bot mir anschließend an, die befallenen Dateien zu desinfizieren, dem ich natürlich zustimmte. Komisch nur, das nach einem weiteren Scan genau diese 14 Trojaner wieder gefunden werden, ohne daß ich inzwischen eine Internet-Verbindung aufgebaut hätte. Wenn ich diese Archive mit WinRAR entpacke, meldet F-Secure sofort wieder eine Bedrohung und bietet die Desinfektion an - angeblich werden die Trojaner umbenannt. Ihre Endungen lauten ".class". Mich interessiert besonders:
1. Sind diese Trojaner jetzt kaltgestellt oder sollte ich sie vielleicht noch per Hand löschen?
2. Wie schwer wurde ich angegriffen, waren das nur harmlose Popups und Spyware oder hatte jemand wirklich Einblick auf meine Festplatte mit vollem Zugriff?
3. Habe ich Java diesen Schlamassel zu verdanken?
(winXP Pro, SP 1, alle Updates, F-Secure Internet Security 2004, legal erworben und auf dem neuesten Stand)
Vielen Dank für die Hilfe, Lars.
Vor paar Tagen auf einschlägigen XXX-Seiten, meldete F-Secure schon mal 2 Trojaner, die, wenn ich mich recht erinnere, im Cache von Mozilla entdeckt wurden, allerdings teilte mir der Virenscanner gleich mit, die besagten Dateien seien gelöscht worden. Darauf vertauend war die Sache für mich erledigt.
Nachdem mir der Esel in den letzten Tagen häufiger mal abstürzte und sich auch zwei, drei mal die Bildschirmauflösung spontan änderte, wenn ich ein Video mit dem Media-Player öffnete, was ich zunächst auf den neuesten Nvidia-Treiber zurückführte;) (Wobei das auch weiterhin am Treiber gelegen haben kann!), habe ich mich schließlich entschlossen meine beiden Platten zu durchsuchen! Vorher habe ich, wie empfohlen, die Schutzstufe auf hoch gesetzt und dann ohne Ausnahme alle Dateien überprüfen lassen.
Nach dem Scan staunte ich nicht schlecht, als sage und schreibe 14 Trojaner gefunden wurden! Und das bei ständig laufenden F-Secure mit der integrierten Firewall. :o
Alle Trajaner hatten sich tief in Java eingenistet, manche sogar mehrmals. Hier ein Auszug aus dem Protokoll:
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\GetAccess.class Infektion: Trojan.Java.ClassLoader.c
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\InsecureClassLoader.class Infektion: Exploit.Java.Bytverify
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\Dummy.class Infektion: Trojan.Java.ClassLoader.Dummy.a
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\clas sload.jar-756dcab5-68c39d4a.zip\Installer.class Infektion: TrojanDownloader.Java.OpenConnection.f
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\Beyond.class Infektion: Trojan.Java.Shiwow
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\counter.class Infektion: Trojan.Java.ClassLoader.b
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\Dummy.class Infektion: Trojan.Java.ClassLoader.Dummy.c
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\coun ter.jar-28cc3f09-4467c756.zip\VerifierBug.class Infektion: Exploit.Java.Bytverify
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\load eradv78.jar-27714795-5b0e80b9.zip\Counter.class Infektion: Trojan.Java.ClassLoader.h
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\load eradv78.jar-27714795-5b0e80b9.zip\Matrix.class Infektion: TrojanDownloader.Java.OpenStream.c
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\load eradv78.jar-27714795-5b0e80b9.zip\Parser.class Infektion: Trojan.Java.ClassLoader.d
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\x4yi pafw1.jar-35676b62-39de62de.zip\counter.class Infektion: Trojan.Java.ClassLoader.b
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\x4yi pafw1.jar-35676b62-39de62de.zip\Dummy.class Infektion: Trojan.Java.ClassLoader.Dummy.d
* C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\x4yi pafw1.jar-35676b62-39de62de.zip\VerifierBug.class Infektion: Exploit.Java.Bytverify
F-Secure bot mir anschließend an, die befallenen Dateien zu desinfizieren, dem ich natürlich zustimmte. Komisch nur, das nach einem weiteren Scan genau diese 14 Trojaner wieder gefunden werden, ohne daß ich inzwischen eine Internet-Verbindung aufgebaut hätte. Wenn ich diese Archive mit WinRAR entpacke, meldet F-Secure sofort wieder eine Bedrohung und bietet die Desinfektion an - angeblich werden die Trojaner umbenannt. Ihre Endungen lauten ".class". Mich interessiert besonders:
1. Sind diese Trojaner jetzt kaltgestellt oder sollte ich sie vielleicht noch per Hand löschen?
2. Wie schwer wurde ich angegriffen, waren das nur harmlose Popups und Spyware oder hatte jemand wirklich Einblick auf meine Festplatte mit vollem Zugriff?
3. Habe ich Java diesen Schlamassel zu verdanken?
(winXP Pro, SP 1, alle Updates, F-Secure Internet Security 2004, legal erworben und auf dem neuesten Stand)
Vielen Dank für die Hilfe, Lars.