GVU Trojaner

Hi allseits,

hatte grad mal wieder eine kurze und heftige Begegnung mit diesem Ärgerling. Gottlob ist er immer noch so simpel dass man ihn problemlos finden und von Hand killen kann.

Jetzt nimmt mich aber doch wunder, wie es dieses Ding schafft, sich auf einen Windows 7 (x84) - alle Patches installiert - Rechner zu mogeln …

… trotz aktuellem Patchlevel
… trotz aktuellem Virenscanner
… trotz aktueller Flash und Java Version
… trotz aktuellem Browser

Gut, das könnte man jetzt alles auf die besodners trickreich und fies programmierte Virensoftware schieben, aber Hand aufs herz, das Ding ist erstmals 2011 aufgereten und hat offenbar seit damals immer die gleichen grundlegenden Routinen: Desktop kapern, Task Manager blockieren, sich wenig unauffällig per Run und Autostart Link resident machen … es sollte doch eigentlich ein Pipifax für Virenscannerhersteller sein, dagegen zu halten.

Das Virus wurde inzwischen sicher x Mal seziert und dokumentiert. Mich interessiert, welche Schwachstelle es zum Eindringen nützt, und wieso es für Virenscanner so schwer zu fassen ist. Gibts irgendwo Seiten dazu zu lesen?

Thx

Armin.

Hei

hatte grad mal wieder eine kurze und heftige Begegnung mit diesem Ärgerling.

Ich auch.

… trotz aktuellem Patchlevel
… trotz aktuellem Virenscanner
… trotz aktueller Flash und Java Version
… trotz aktuellem Browser

Frag ich mich ehrlich gesagt auch.
Wobei ich das Betriebsystem ausnahmsweise mal für unschuldig halte.

Aber ich frage mich ernsthaft, mit welchen undokumentierten Befehl man einen Browser (jeden Browser! ich benutze Opera, ein Kumpel, den letztens erwischt hatte, Firefox) dazu veranlassen kann, eine ausführbare Datei ohne ausdrücklichen Wunsch und Zustimmung des User herunterzuladen, und diese dann auch noch ohne Rückfrage auszuführen.

Programmieren die heute eigentlich alle nur noch sch***e?

lg, mabuse

Hi allseits,

hatte grad mal wieder eine kurze und heftige Begegnung mit
diesem Ärgerling. Gottlob ist er immer noch so simpel dass man
ihn problemlos finden und von Hand killen kann.

Jetzt nimmt mich aber doch wunder, wie es dieses Ding schafft,
sich auf einen Windows 7 (x84) - alle Patches installiert -
Rechner zu mogeln …

Mich wundert, daß es immer noch Leute gibt, die so naiv sind zu glauben, man könne ein Trojanisches Pferd mal eben so von Hand vom Rechner schmeißen. Du redest ja selber von „mal wieder“ - hast Du schon mal in Erwägung gezogen, daß er nie wirklich weg war? Es gibt eigentlich nur eine sichere Methode, sowas los zu werden. Weißt Du das wirklich micht oder willst Du es nur nicht wahr haben?

Hi auch,

seltsames Posting ist das, mein Freund. Sehr sehr hochnäsiger Ton.

Mich wundert, daß es immer noch Leute gibt, die so naiv sind
zu glauben, man könne ein Trojanisches Pferd mal eben so von
Hand vom Rechner schmeißen.

Jedes wahrscheinlich nicht, aber dieses meine ich schon.

Du redest ja selber von „mal
wieder“ - hast Du schon mal in Erwägung gezogen, daß er nie
wirklich weg war? Es gibt eigentlich nur eine sichere Methode,
sowas los zu werden. Weißt Du das wirklich micht oder willst
Du es nur nicht wahr haben?

Ich weiß genau, was Du meinst . Wenn Du was zu desinfizieren hast ist eine Atombombe ein sicher wirkendes Mittel Zufällig wurde dieser Rechner (der letzten Sommer schon Mal Besuch von der GVU hatte) Anfang Jahr auf SSD umgebaut, also wurde er geplättet. Ich hab das Teil allerdings auch letzen SOmmer von Hand gekillt - und hatte bis Ende Jahr nicht die geringste Veranlassung zu glauben dass mit die GVU immer noch auf der Spur ist

So, jetzt aber zum Wesentlichen. Hast Du meine Frage nicht gelesen, oder nicht verstanden? Mich interessiert wie es das Ding schafft, seit gut 2 Jahren die Virenscanner auszutricksen, und wie er überhaupt trotz der genzen nervigen Patcherei die alle paar Tage durch die automatischen Updates losbricht, auf den Rechner schaffen konnte.

Wo er nämlich herkam weiß ich ziemlich genau.

Armin.

P.S. die Vorsicht gebietet es, auch Deinem Hinweis, dass sich der Trojaner *eventuell* noch auf dem Rechner befinden könnte, nachzugehen. Hast Du auch dazu noch irgend etwas Greifbares zu melden, z.B. wie Das zu überpfüfen wäre? Bitte keine paranoiden Vermutungen a la „er versteckt sich so gut dass Du ihn deshalb nicht finden kannst was wiederum beweist dass er noch da ist“

Und wenn da tatsächlich was dran wäre entschuldige ich mich auch für mein nicht gerade nettes Posting.

Hi Mabuse,

Hei

hatte grad mal wieder eine kurze und heftige Begegnung mit diesem Ärgerling.

Ich auch.

… trotz aktuellem Patchlevel
… trotz aktuellem Virenscanner
… trotz aktueller Flash und Java Version
… trotz aktuellem Browser

Frag ich mich ehrlich gesagt auch.
Wobei ich das Betriebsystem ausnahmsweise mal für unschuldig
halte.

Na ja, teilweise. Ich denke, ich habe ihn mir über ein Online Poker Game eingefangen, also dürfte (mal wieder) Flash im Spiel gewesen sein.

Aber ich frage mich ernsthaft, mit welchen undokumentierten
Befehl man einen Browser (jeden Browser! ich benutze Opera,
ein Kumpel, den letztens erwischt hatte, Firefox) dazu
veranlassen kann, eine ausführbare Datei ohne ausdrücklichen
Wunsch und Zustimmung des User herunterzuladen, und diese dann
auch noch ohne Rückfrage auszuführen.

… und er hängt sich sowohl ins Autostart Menü als auch in den Run Zweig der Registry. Spätestens da sollte die allgegenwärtige UAC eigentlich Lunte riechen. Tut sie aber nicht. Statt dessen nervt sie mich jedes Mal wenn ich zur Nachschau Regedit starten möchte --> der Polizist verhaftet den Zeugen statt dem Täter.

Programmieren die heute eigentlich alle nur noch sch***e?

Tja, das ist eine gute Frage, nächste Frage.

Armin.

Hei!

also dürfte (mal wieder) Flash im Spiel gewesen sein.

Ah, ja.
Auch sonne Seuche.

… und er hängt sich sowohl ins Autostart Menü als auch in den Run Zweig der Registry. Spätestens da sollte die allgegenwärtige UAC eigentlich Lunte riechen. Tut sie aber nicht.

Ja, das ist hier aber okay, da sich das Mistvieh nur in die persönlichen Einträge des Users einklinkt, nicht in die Systemweiten.
Häßlicherweise, denn ich bin noch auf XP, wenn das Ding da an die Systemweiten Einträge wollte, würde einfach mal gar nichts passieren.

Auf den anderen Seite gut für mich, eben als Admin angemeldet und er ist inaktiv und kann daher problemlos von Hand beseitigt werden.

Statt dessen nervt sie mich jedes Mal wenn ich zur Nachschau Regedit starten möchte --> der Polizist verhaftet den Zeugen statt dem Täter.

Na, dann wart mal ab, bis sich das erste Flash-Player-„Update“ meldet. Da gibt’s einen Virus, der sich als Update für den Flash ausgibt, und mir jetzt seit drei Wochen die Zustimmung zur Installation zu entlocken versucht. Alle zwei bis vier Stunden kommt das Ding hochgepoppt, Leute mit schwächeren Nerven hätten ihn schon längst gelassen.
Hab das Mistvieh aber bisher noch nicht gefunden, um ihn entgültig loszuwerden (hab allerdings auch noch keine zeit für eine richtige Suche gefunden).

Diese UAC ist imho völliger Murks.

lg, mabuse

Auch haben
Moin, Armin,

Wo er nämlich herkam weiß ich ziemlich genau.

erlaube, dass ich mich an dieser Stelle einklinke - aus reiner Neugier, weil es mir in den letzten 10 Jahren nicht gelungen ist, mir irgend etwas an Malware einzufangen. Ich schreibe gerade auf einem W2000-Desktop, auf dem Laptop ist W7 installiert. Der erste und letzte Schädling, den mir je begegnet ist, war das Ding, das den Rechner heruntergefahren hat (Lovesan?), allerdings auf einem Rechner im Firmen netzwerk.

Also, hier die Frage: Wie komme ich an einen Trojaner? Oder wenigstens an einen Virus?

Gruß Ralf

Hallo,

dir kann geholfen werden:

• Schalte deinen Virenscanner ab.
• Besuche unseriöse Seiten.
• Deaktiviere deinen E-Mail-Schutz.
• Öffne Anhänge von Mails, wo dir ein Vermögen versprochen wird.

So geht’s eigentlich ganz schnell …

LG Culles

Also, hier die Frage: Wie komme ich an einen Trojaner? Oder
wenigstens an einen Virus?

Ich hab an dem Abend ein Online-Poker-Programm gestartet, danach hats geklingelt.

Mich hat das GVU Teil 2 Mal trotz Virenscanner erwischt. Der hat zwar angeschlagen, aber es war schon zu spät. Die eigentliche Infektion bemerkt er wohl nicht, sondern nur das Abspeichern der Virendateien für den nächsten Login. Er fragt dann was er mit den Dateien machen soll, aber diese Frage kann man bereits nicht mehr beantworten weil die Tastatur gekapert wurde.

Den genauen Sinn Deiner Frage verstehe ich allerdings nicht. Wenn Du absolut keinen Kontakt mit Viren hattest bist Du entweder extrem vorsichtig, oder Du machst nicht viel mit dem PC, wo Gefährdungspotenzial drinnen wäre.

Und ich warte nach wie vor auf den Ersten der einen beirtrag zur eigentlichen Frage liefert … wie schafft es dieser Trojaner, sich in den Rechner zu mogeln? Offenbar nützt er eine Sicherheitslücke, wahrscheinlioch in Flash, die sich seit 2 Jahren nicht schließen ließ. Das würde mich doch interessieren.

Armin.

Hallo,

er hat aber recht, bei einem trojaner weiss man nie, was er nach geladen hat oder was er zusätzlich installiert. wenn der ein rootkit draufpackt hast du keine chance das zu finden.

wer sich zwei mal so ein ding einfängt macht was falsch, das ist kein fehler der technik sondern des users.

also neu installieren ( ja klar kann man den auch per hand entfernen, das braucht aber 5 mal soviel zeit und viel mehr ahnung als jemand hat, der sich sowas einfängt) und ist auch nach der aussage von ms die einzige chance.

hth

Hallo,

erstens entwickeln sich trojaner weiter und zweitens sitzt die größte sicherheitslücke vor dem rechner.

hth

Hi,

wahrscheinlich ist das die xte Abart und die Virenerkennung kommt mit den Signaturen nicht hinterher. Aber selbst der beste Antivirenscanner bringt nichts wenn der Benutzer gecrackte Spiele herunterlädt und der Benutzer den Schädling zusammen mit dem Spiel installiert.
Dann natürlich die übliche Movie2k Masche: Es ist ein Update verfügbar: Klicken sie „hier“. Und anstelle eines Updates wird eben der Schädling installiert.
Letzteres hatte ein Kunde in einer Woche 3x. System blockiert. System repariert, er denkt: Ach er hat einen Patch vergessen, ok mach ich eben selber. System blockiert. und von vorne.

Und, und, und

MFG

Hi auch,

seltsames Posting ist das, mein Freund. Sehr sehr hochnäsiger
Ton.

Mich wundert, daß es immer noch Leute gibt, die so naiv sind
zu glauben, man könne ein Trojanisches Pferd mal eben so von
Hand vom Rechner schmeißen.

Jedes wahrscheinlich nicht, aber dieses meine ich schon.

Du redest ja selber von „mal
wieder“ - hast Du schon mal in Erwägung gezogen, daß er nie
wirklich weg war? Es gibt eigentlich nur eine sichere Methode,
sowas los zu werden. Weißt Du das wirklich micht oder willst
Du es nur nicht wahr haben?

Ich weiß genau, was Du meinst .

Das wage ich zu bezweifeln.

:Wenn Du was zu

desinfizieren hast ist eine Atombombe ein sicher wirkendes
Mittel

Komischer Vergleich. Was hat Desinfektion mit Totalzerstörung zu tun? Ich rede von Neuinstall. des BS, nicht von einer Sprengung des PC.
Wenn ich etwas desinfizieren möchte, nehme ich aber Desinfektionsmittel und steriles Arbeitszeug, keine alten Putzlappen und Brackwasser.

Zufällig wurde dieser Rechner (der letzten Sommer
schon Mal Besuch von der GVU hatte) Anfang Jahr auf SSD
umgebaut, also wurde er geplättet.

Ist doch super! Dann hast Du doch bestimmt auch ein Backup des frischen und sauberen BS, welches Du jetzt nur noch zurückspielen brauchst. Das geht schneller als von Hand suchen und entfernen und ist auch noch deutlich sicherer.

Ich hab das Teil allerdings
auch letzen SOmmer von Hand gekillt - und hatte bis Ende Jahr
nicht die geringste Veranlassung zu glauben dass mit die GVU
immer noch auf der Spur ist

Könnte es sein, daß Schädlinge sich zuweilen möglichst unauffällig verhalten? Manche sogar mit Erfolg?

So, jetzt aber zum Wesentlichen. Hast Du meine Frage nicht
gelesen, oder nicht verstanden? Mich interessiert wie es das
Ding schafft, seit gut 2 Jahren die Virenscanner
auszutricksen, und wie er überhaupt trotz der genzen nervigen
Patcherei die alle paar Tage durch die automatischen Updates
losbricht, auf den Rechner schaffen konnte.

Diese Frage wäre beim Hersteller Deiner Schutzsoftware besser aufgehoben, denke ich. Niemand kennt Deine Surfgewohnheiten oder weiss, was Du so alles auf Deinem Rechner installierst. Und für ins Blaue spekulieren bin ich nicht so.

Wo er nämlich herkam weiß ich ziemlich genau.

Na dann sollte doch eine zukünftige Vermeidung machbar sein?

Moin, Culles,

• Schalte deinen Virenscanner ab.

hab noch nie einen gehabt.

• Besuche unseriöse Seiten.

Mache ich jetzt nicht mehr so oft, früher gerne - alle meine Lieblinksseiten hatten mindestens 1 virtuelles z hintendran…

• Deaktiviere deinen E-Mail-Schutz.

Das möchte ich nun doch nicht, mein Provider sortiert recht ordentlich.

• Öffne Anhänge von Mails, wo dir ein Vermögen versprochen
  wird.

Darauf fallen nur die ganz Lieben herein, die Windows-Voreinstellungen benutzen und darauf vertrauen, dass eine .txt eine .txt ist. Aber schön zu lesen ist solche Post allemal.

Was kann ich noch tun? Dauernd prahlen die Spezialisten, was sie sich schon wieder gefangen haben, nur mir will das nicht gelingen ((

Gruß Ralf

Hallo,
also wenn du meine Ratschläge nicht befolgst, dann wirst du auch keinen Virus bekommen. Dann beschwere dich aber bitte auch nicht.
Da du keinen Virenscanner verwendest, hast du ja zumindest einen Anfang gemacht. Weiter so!

LG Culles

Ich geb die Hoffnung nicht auf
Besternten Dank!

Gruß Ralf

Hallo,

einen Tipp hab’ ich noch.
Reiche einem Freund, der gerade mit seinem Notebook von einer Lan-Party kommt ein Netzwerkkabel, dessan andes Ende in Deinem Switch steckt.
Das hat bei mir geholfen, obwohl ich da noch eine ‚Security Suite‘ installiert hatte, die richtig Geld gekostet hat.
Ich hab’ mir dann beides abgewöhnt und bin jetzt in der selben Situation wie Du.

Gruß Chewpapa