Wie ich feststellen musste, wird der Trojaner Win32.Agent.adb über ein Update des Browsers Firefox 8.0.1 auf dem System in lokalen Verzeichnissen des gerade aktiven Admin-Nutzers installiert, jedoch wird keine neue Version des Browsers angezeigt!

Daher sollte man aus Sicherheitsgründen Firefox nicht weiter benutzen, bzw. auf die portable Version ausweichen!

Aufmerksam wurde ich auf den bösartigen Trojaner durch das Programm Spybot - Search & Destroy. Jedoch kann das Programm den Schädling nur aus der Registry entfernen - im AppData-Verzeichnis des entsprechenden Nutzers bleibt der Trojaner weiterhin vorhanden und führt nach Login VB-Scripte aus.

Der Trojaner führt VB-Scripte aus, schreibt sich in die Registry und lässt sich nur manuell sicher entfernen. Im Taskmanager finden sich dann zwei 32bit VisualBasicCompiler Executables, die zunächst beendet werden müssen, um sie aus dem C:\Users\Username\AppData\Local Verzeichnis löschen zu können.

Dabei muss man sich den jeweiligen Ordnerinhalt nach Änderungsdatum anzeigen lassen, um zugehörige Dateien des Trojaners zu finden.

Hinzu kommt, dass der Trojaner im Verzeichnis C:\Users\Username\AppData\Roaming Ordner erstellt, die wie regulär installierte Anwendungen lauten (z.B. Intel, ImageBurn, Mozzila), sich jedoch nach kurzer Zeit wieder löschen und zu einem späteren Zeitpunkt dort unter anderem Namen neu hineinschreiben. Somit gibt das Änderungsdatum Aufschluss über den "Bösewicht"!
In diesem Verzeichnis erstellt der Trojaner ebenso die Datei Usernamedat, die nur die Uhrzeit der Dateierstellung enthält.

gibts dafür noch andre Quellen? weil wenns nur auf deinem PC vorkommt, ist der Grund sicher ein andrer.

Das denk ich auch, tippe mal der TE ist einem "Phisher" aufgesessen. Updates sollte man nicht über nen Email- oder Social-Network-Link einspielen. Die automatische FF-Update Funktion sagt sogar noch, dass bei mir mit der 8.0 Version noch alles aktuell sei :>.

mfg Olli

im deutschen Firefox Forum, auf Heise und unter Google ist auch nichts zu finden. Also triffts qiller wahrscheinlich :)

FF 8.0.1 ist die aktuelle Version. Verdächtig dabei ist, dass FF ein Update mit ca. 17MB runterladen möchte, nach dem Update aber keine neue Version anzeigt. Bricht man den Download des Updates ab, kommt es kurz darauf dennoch zum Start des VB-Scriptes, das eine Mozilla-DLL benötigt, wie sich herausgestellt hat.

Sehr wahrscheinlich, dass ich einem Fake-Firefox aufgesessen bin, der den aggressiven Trojaner eingeschleust hat. Daher sollte andere Nutzer auf Nummer Sicher gehen und ihr System mit Spybot scannen! ;)

oder manuell laden:
latest alpha/beta: http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-trunk/
release 8.0.1: http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/8.0.1-candidates/build2/

Ich kann mir grad kein genaues Bild draus machen wie man dazu kommen kann.

Muß man dafür einen kompromitierten Fuchs erstmal eigenhändig von Nicht-Mozilla saugen und installieren oder "knackt" ein Loader die Updatefunktion und lädt dann die Komplettversion der Schadsoft nach?

Firefox 8.0.1 behebt nur Probleme auf Macos und mit irgendeiner Erweiterung namens Roboform. Windows-Nutzer von Firefox 8.0 bekommen diese Version über Auto-Update daher erst gar nicht angeboten. Nur wer Firefox 8 noch gar nicht hatte, dort wird bei der Installation/Aktualisierung gleich 8.0.1 geladen.

Das unplanmäßige Update konnte ich nun auf einem Screenshot in meiner W8-Preview in VirtualBox festhalten. Die ominöse Firefox 8.0.1 Version ist jetzt auch sichergestellt und die installierten Dateien aus dem Local und Roaming Verzeichnis.

Mir ist aufgefallen, dass vor dem FF-Update Adobe Flash ein automatisiertes Update durchgeführt hat. Ob das den Trojaner in FF eingeschleust hat oder ob es sich um ein Fake-Firefox handelt, muss noch geklärt werden.
Ein erster Vergleich der Dateigröße beider FF-Downloads offenbart unterschiedliche Größen.

Hast Du das mal bei Virustotal.com oder ähnlichem hochgeladen?

Falls ja wäre ich an einem Ergebnislink interessiert. :)

Du meinst bei jotti...
http://virusscan.jotti.org/de

Mir fiel die Tage auf, daß Autoupdate bei dem Flash hier festverdrahtet ist. Ist das so oder hab ich was übersehen? Der Shot ist vom Adminkonto. Die Optionen sind geghostet...

....Virenscanner hat nix abgefangen?!
Sollte sowas ned schon beim fertigen DL einkassiert werden?

Greets
S@uDepp

Bei Zero-Day Viren hilft auch ein guter Virenscanner wenig

...da is viel Wahres dran ... allerdings ist der o.g. bei AVAST schon seit 2009 bekannt .....
Daher die Frage welche Sicherheitssoftware den ggf. durchgewunken hat......

Greets
S@uDepp

Bei Zero-Day Viren hilft auch ein guter Virenscanner wenig

Verhaltens blocker oder Hips

http://www.heise.de/security/meldung/Studie-sieht-Chrome-als-sichersten-Browser-1393555.html


Insbesondere mit der eingebauten Sandbox konnte der Google-Browser punkten. Sie soll das System vor potentiell bösartigen Zugriffen etwa durch bösartige Inhalte oder ein wildgewordenes Plugin abschotten. Hier hat Googles Chrome der Studie zufolge ein recht überzeugendes Konzept, während Microsofts Umsetzung über Verbindlichkeitsstufen (Intergrity Level) doch sehr lückenhaft ist. Firefox hingegen hat in diesem Bereich bislang fast gar nichts vorzuweisen.


Das könnte sehr wahrscheinlich etwas mit meinem Problem zu tun haben! ^^

Das Chrome sich gegen Konkurrenz abschottet kann, überrascht mich nicht. :D

Das könnte sehr wahrscheinlich etwas mit meinem Problem zu tun haben! ^^
Wenn du dir Malware installierst, nützt ein "sicherer" Browser auch nichts.