Trojaner Troj/Multidr-BL

    Die Geschichte lässt sich leicht klären: Diese Schädlinge gelangen auf Netzwerkebene auf das System. Aus dem LogFile sind mindestens zwei Backdoors erkennbar, die sich als Würmer (auf Netzwerkebene, man erinnere sich an Sasser) verbreiten.

    Nicht selten wird dann auch Ad-/Spyware von diesen nachgeladen und installiert. Es wäre also durchaus denkbar, dass *auch* die aktive Spyware, die Toolbars, etc. auf diesem Wege "installiert" wurde, wenngleich der "klassische" Weg für letztgenannte Schädlinge bisher eher Sicherheitslücken im Browser (Internet Explorer) waren [und auch im LogFile O16-DPF-Einträge sichtbar sind, die für die Spyware auf den Infektionsweg Internet Explorer hinweisen; dieser sollte prinzipiell nicht zum Surfen im Netz verwendet werden].

    Das System muss als kompromittiert angesehen und neu aufgesetzt werden. Wichtig aber ist, dass vor der ersten Verbindung ins Netz eine Absicherung erfolgt. SP4 für Win 2000 reicht dahingehend NICHT aus, da mit diesem "jüngere" Sicherheitslücken nicht behoben sind, sondern durch einzelne Patches hehoben werden müssen. Mit anderen Worten: das System hat über ein Jahr keine Updates mehr erfahren. Das ist zu wenig, mind. 14 tägig sollte über das Windowsupdate geprüft werden.

    Weitere Absicherung VOR der ersten Internetverbindung: http://www.ntsvcfg.de

    Falls du Fragen hast, stell sie!

    Einmal editiert, zuletzt von Markus (18. Februar 2005 um 11:02)

    Zitat von PvW

    Generell bin ich mittlerweile der Ansicht, das Systeme,in denen sich BullsEye,CWS,Lop.com,SecondThought und ihre Spießgesellen befinden, zunächst als kompromittiert gelten sollten.


    Zustimmung. Das Problem ist, dass die Grenzen zwischen bestimmten Schädlingsklassen recht fließend (geworden) sind. Sehr häufig sind hybride Formen zu beobachten, genaue Klassifizierungen sind nicht einfach und vor allem gar nicht immer sicher, da sich im Web abrufbare Analysen oftmals nur auf ältere Version bereits bekannter Schädlinge beziehen, neuere aber nocht nicht erfasst sind, oder, noch problematischer, von Malwarescannern gar nicht erkannt werden.

    Zitat

    Warum?
    Schweift man durch einschlägige (Sicherheits-) Foren,fällt auf,daß die
    unfreiwilligen GastGeber in den allermeisten Fällen auch Geziefer
    beherbergen,welches weniger verzeihlich ist.


    So ist es, wie auch in diesem Fall. Die Spyware wird bemerkt, in Wirklichkeit werkeln aber zwei Backdoors im Hinterund, die gewissermaßen vollen Zugriff von außen auf das System erlauben, solange eine Verbindung zum Internet besteht. Innerhalb dieses Zeitraumes können Daten ausgelesen, Tastaturanschläge mitgeloggt, weitere Schädlinge installiert oder Dateien ausgetauscht werden, etc.

    Zitat

    Ob dies mit der Perfidie der Originalhersteller oder aber mit einer gelinden
    Blauäuigikeit :wink: der Infizierten zu tun hat,wage ich nicht zu beurteilen.


    Wenn mann alle Schädlinge mit einbezieht: Viele erfordern keinen Klick auf "OK" oder "Installieren", wie man an den Netzwerkwürmern ganz gut erkennen kann.

    Zitat

    Es scheint Sitte geworden zu sein,selbst in weniger spezifischen Foren, die
    komplette Latte zu posten.
    Gelinde gesagt macht dies die Recherche nach Zusammenhängen
    mühseliger als nötig, da viele Foren von Tante Google indiziert werden.

    Umsonst - aber hoffentlich nicht vergeblich - wird auf HiJackThis!.de eine automatische Auswertung der Logfiles geboten.


    Prinzipiell sorgt die massenhafte Indizierung auf den ersten Blick für etwas mehr Unübersichtlichkeit, ja. Auf den zweiten, und mit Hilfe der erweiterten Google-Suche kann man aber bestimmte Ergebnisse ausschließen und so das erhalten, wonach man sucht.

    Die automatische Auswerung liefert zwar eine Auflistung u.a. "verdächtiger" und "böser" Dateien, sie sagt, was zu "fixen" ist, sie sagt aber nicht, wie all diese Schädlinge jeweils auf das System gelangen konnten, was also die Ursache für die Infektion ist. Das muss durch weitergehende Analyse herausgefunden werden. Ein blindes Löschen ist da jedoch eher kontraproduktiv, zumal bei so einem Infektionsbild wie hier der Rat zu einem Neuaufsetzen unumgänglich ist.

    Zitat von martina4you

    Fest steht, dass ich einige von den Bösen Dingern drauf hab, seit dem ich einen Check mit Spybot gemacht habe. Überlege ob ich den runterschmeisse und einen neuen downloade. Hat denn jemand von euch auch mal schlechte Erfahrungen damit gemacht?


    Das hat mit Spybot Search and Destroy rein gar nichts zu tun.

    Zitat von martina4you

    Ist ja gut, bin jetzt eh ein paar Tage nicht da und dann kommt mein Internet-Mensch und hilft mir.


    Aber hoffentlich nicht wieder derjenige hier:

    Zitat

    Werde es mal mit dem bereden, der mit das alles installiert hat. Schätze er hat es auch auf seinem pc so und es ist ok.


    Denn ist alles andere als "OK" so. Das System muss vernünftig abgesichert werden:

    http://www.mathematik.uni-marburg.de/~wetzmj/index.…compromise.html

    Auch hier gilt: Wenn dazu Fragen bestehen, stell sie.

    Zitat von martina4you

    Hier ist keiner auf irgendwelchen seltsamen Seiten. Mein PC war ja mit Service pack 4, Antivir und Fw gesichert und trotzdem fange ich mir was ein. In meinem Verlauf wirst du nur einen Knuddels-chat finden, den nutzt mein Sohn und all seine Klassenkameraden, die keinen virus etc auf ihrem PC haben. Weiter wirst du ein Gartenforum finden und stinknormale Info-Seiten wie Falk.de und ein paar Urlaubsorte. :(


    Das hat nichts zu sagen. Es reichen schon sogenannte "iframes" zum einbetten von (präparierter) Werbung innerhalb einer Seite, um schädlichen Code auf vermeindlich unschädliche Seiten zu platzieren. Das ist dann meist auch ausserhalb des direkten zugriffs- und kontrollbereiches des eigendlichen Seitenbetreibers.

    Ok. Firefox ist gegen sowas unempfindlich. Man könnte jetzt sagen: ich benutze keinen IE, sondern nur Firefox. Aber auch das hat nicht viel zu heissen. Unzählige Programme betten den IE in sich selbst ein und benutzen dem seine Funktionen. Häufig für Werbung. Manche Software ist zwar kostenlos, bringt aber Bannerwerbung im Programm mit. Diese wird in der Regel durch den im Programm eingebetten IE dargestellt. Ist die Werbung präpariert und IE nicht entsprechent abgesichert -> Seuche eingesammelt.

    Gibt aber auch Viren/Trojaner, die einfach den Rechner (bzw. eines der Serviceprogramme die dauernt laufen) selbst angreifen, sobald er online geht. Wenn dort keine sicherheitsmassnahmen gestellt werden, hilft es nichtmal den IE komplett zu deaktivieren.

    Sich was einzufangen ist einfach wie nichts anders. Sich von dem Zeug wieder zu befreien ist in der Regel ein Kraftakt der besonderen Art. Und manchmal gar unmöglich. Das System meiner Mutter hab ich zwar wieder "sauber" bekommen, steht aber unter Beobachtung. Mach das nur den Hauch einer Anstalt sich nochmal kontraproduktiv zu verhalten, ist auch doch format c: angesagt.

    Hi martina,

    Zitat

    bin nur wahnsinnig frustig!


    Jo, was meinst Du, wie es da manchmal den "Helfern" geht ! Wenn man hört, wie "SP2 so ein Mist, weil mein PC beim online-zocken immer abk...." oder "diese Sch.... Fw, pings beim online-zocken wie eine Achterbahn, deswegen hab ich die...", auch "Stammgäste", öfter mal mit´nem Troj. etc... persönliches Fazit: Hilfe zwecklos...sorry und manchmal Sarkasmus...
    und was für eine Vorlage:

    Zitat

    In meinem Verlauf wirst du nur einen Knuddels-chat finden, den nutzt mein Sohn


    Hatte da mal was...aber u.a. diese Seite gefunden http://www3.ndr.de/ndrtv_pages_std/0,3147,OID773216,00.html
    Link ziemlich bewußt und es taucht im 2.Absatz knuddels.de auf...
    hier auch nochmal eine lesenswerte Basis-Info rund ums i-net http://www.bsi-fuer-buerger.de/chat/index.htm

    Zitat

    und all seine Klassenkameraden, die keinen virus etc auf ihrem PC haben.


    Dieses halte ich für eine sehr wagemutige Aussage und würde fast alles darauf wetten, daß dem nicht so ist...bzw. sogar "Deine" Infektion erklärt...

    Zitat

    Mein PC war ja mit Service pack 4, Antivir und Fw gesichert und trotzdem fange ich mir was ein.


    auch hier ganz klares NEIN, jedenfalls wer weiß wie lange nicht mehr ? Evtl. durch falsche Konfiguration oder Schädling oder auch von beidem....siehe Vorredner...
    Zur Absicherung, wie Dienste s.o. gehört auch z.B. die Problematik "Autostart". Dort hat dieser "Mist" (uuppss) wie Messengers etc. nichts zu suchen...diese sind kpl. ein Sicherheitsrisiko und wenn, zum Gebrauch manuell zu starten...dort sollten nur "Schutzprogramme" in der Anwendung stehen...jedenfalls aus meiner Sicht...

    Zitat

    Datenträgerbereinigung, z.B. TEMP (von mir)


    nach jedem i-net Besuch ist dieses sofort zu praktizieren...entweder duch entsprechende Systemkonfiguration, oder auch durch Zusatz-Prog´s, z.B. http://www.clearprog.de/downloads.php ist ein nützliches Tool, da es auch "Nicht-Systemprogramme" behandelt...keine blinde Sicherheit aber eben auch Systempflege...

    Zitat

    Systemsicherheit


    Eine immerwährende Kontrolle der Funktionen...muß man aber eben über diese auch etwas aufgeklärt sein (Hilfe-Dateien)...wie erwähnt regelmäßige Updates der Software ein MUSS...mindestens 1x wöchentlich sollten die scans im abgesicherten Modus durchgeführt werden...bei AV-Prog´s ist beim Löschen VORSICHT ! angesagt (Fehlalarm oder Systemdatei), deswegen das allerbeste: Option "nur in Report anzeigen" oder nur erstmal "verschieben" nutzen...den Befund mit einer 2. Meinung gegenchecken:
    lokale sehr gute Möglichkeit (wurde schon genannt) eScan http://www.trojaner-info.de/hijacker/escan.shtml (nur für abgesicherten Modus)
    Kpl. (eigener AV-Wächter muß aber derweil deaktiviert sein) http://de.trendmicro-europe.com/enterprise/pro…call_launch.php (JAVA !)
    Einzeln (Größe ?) http://www.kaspersky.com/scanforvirus
    oder http://virusscan.jotti.org/
    oder http://www.ravantivirus.com/scan/indexn.php
    nur darf nie ein 2.AV-Prog inst. sein, bzw. so konfiguriert werden, daß kein 2.Wächter aktiv ist...und das deinst. solcher Versuche ist oft sehr schwierig...

    Hat man das System auf Vordermann auch mal checken lassen, z.B.
    http://www.security-check.ch/ratgeber.cfm?lang=d
    http://check.lfd.niedersachsen.de/start.php

    Zitat

    Downloads / Installationen !


    außer beim Win-update oder "internen" updates der Schutzprogramme wird nie "unkontrolliert" online "ausgeführt", sondern "speichern unter" gewählt und mit AV-Einzelscan vor jedweder Inst. geprüft !!! nebenbei erhält man so eine ziemlich nützliche Sammlung für den Fall der Fälle...Sicherheitsrelevante Prog´s (Fw, AV) werden als Adm. im abgesicherten Modus inst. und deinst. (hiernach manuell Reste entfernen und bei Verwendung anderer Prog´s ebenso vorsichtige Reg.-Reinigung) bei NORTON und Konsorten lieber gleich neuaufsetzen :lol:

    Zitat

    HiJackThis-Auswertung !


    Es ist ein posten des log´s und eine jeder für sich Auswertung anzuraten, da hier Fehler möglich sind (mehrfaches Speichern/IP´s)!

    so sorry für diesen Vortrag und etwaige Wiederholungen, aber es kann nicht oft genug gesagt werden und wenn man erstmal dabei ist...
    Erfahrene, weitermachen :wink: die Anderen alle "security-Links" unlöschbar in die Lesezeichen aufnehmen, weitere Infos suchen und danach handeln... :roll: (und schnell weg) [Blockierte Grafik: http://www.mainzelahr.de/smile/frech/fragglewechneu3.gif]