Dampfradioforum

Ich habe 11 Tage gebraucht, um ein Schadprogramm zu finden, welches ich von einer amerikanischen Schaltplan- Seite heruntergeladen, und leider auch noch selbst ausgeführt habe.
Ich streu`mir schon eimerweise Asche auf's Haupt- Schadenfreude- Modus darf aus bleiben.

Es handelte sich einen "Browser- Highjacker", ein Programm, welches in ALLEN Browsern die Suchmaschinen- Ergebnisseiten -zeitgesteuert und mit Zufallsgenerator- manipuliert, so daß zeitweise bestimmte Ergebnisse auf Werbe-, Porno-, Glücksspiel-, und -ganz fies- weitere Schadsoftware- Seiten, die angebliche Antivirenprogramme (in Wirklichkeit weitere fiese Schadprogramme) anboten, "umgebogen" wurden.

Sollte einem Programmierer nicht passieren... ?
Lag am Streß an dem Tag, als ich eine viele Downloads tätigte, und an den Datei- Anzeige- Einstellungen eines Fremdprogramms- ich kenne natürlich die Ordneroptionen, aber die gelten für Windows.

Auswirkung:
Alle Aufrufe gingen an Klickzähler- und Verteiler- Seiten, wie allthetimes(punkt)com, rocketnews(Punkt)com, bitvertiser(Punkt)com, usw.
Diese Seiten verdienen über die künstlich generierten Klicks (Seitenaufrufe) genannter Drecksseiten einen Haufen Kohle,darum programmieren Fieslinge solchen Dreck.

Evtl. gibt es weitere Tätigkeiten des Programms.

Das Schadprogramm wurde -aktiv und inaktiv- weder von Antiviren- und Anti- Adware- Programmen, noch üblichen Suchtools gefunden !!!
Kleine Auswahl: Avira Antivir, HighjackThis, Malwarebytes Anti-Malware, Ad Aware, RootkitRevealer, TDSSKiller, cwshredder.
Kein Fund bei diesen Programmen !!!
Keine Umbiegung der DNS- Auflösung in der hosts- Datei von Windows, kein fremder Proxy- Server in den (TCPIP-)Netzwerkeinstellungen (Registry)

Ein einziges Programm (ComboFix), -welches allerdings extrem vorsichtig bedient werden muß !!!!!!!!- , gab einen Hinweis.

Das Schadprogramm hatte einen Job im Taskplaner installiert.
Den habe ich nie in Verwendung, es sollte kein Job drinstehen.
Wer schaut schon in den Taskplaner, wenn er ihn nie nutzt...?

In der .job- Datei in C:\Windows\Tasks fand sich dann auch der Hinweis, den ComboFix gefunden hatte:

Die rundll32 ist eine Windows- Datei, die Codeteile einer DLL ausführen kann. Diese Datei (im Verzeichnis System32) ist keine Schaddatei.
DLL- Dateien sind eigentlich Programmbibliotheken, die z. B. Hilfsformeln und Bilder enthalten können, aber eben auch Anweisungen für Programme.
Somit werden sie nur als Virus erkannt, wenn es eine bekannte Signatur in deren Inhalt gibt.
Die Datei "mscdexntm" als DLL ist ein Fake, es gibt eine "mscdexnt" (also ohne "m") als Exe- datei (bedeutet Microsoft CD- Extractor- Programm für Windows NT). Diese Datei wird für das Auslesen von CD`s und Musik/ Videodateien genutzt.
Übrigens hatte die Schad- DLL als einzige Datei den Zeitstempel des Download- Tages, da hat der Virus- Programmierer nicht aufgepaßt.
Ich hatte aber nicht mit diesem Kriterium gesucht, über eine solche Suche wäre kaum was zu machen, wenn man keinen konkreten Hinweis hat, an dem Tag kamen Tausende Dateien auf den Rechner, die den Zeitstempel des Tages tragen- jeder Webseiten- Aufruf generiert solche.

Weitere Schadwirkungen habe ich bisher nicht gefunden.

Ich habe die .job- Datei und die Schaddatei unwirksam gemacht, und als Text- Dateien woandershin verschoben (geht am besten mit Rettungs- CD, die Dateien werden von Windows sogar noch geschützt !!!), sowie an den Antivirus- Programm- Hersteller Avira gesandt.
Zusätzlich habe ich den Taskplaner- Dienst in Windows (über "Verwalten") deaktiviert.

So ein Programm kann das System noch weiter verseucht haben- ich werde bei Gelegenheit das gesamte Betriebssystem neu aufsetzen.

Ich schildere dies hier so ausführlich, weil ich davon ausgehe, daß für einige Techniker der Hintergrund interessant ist.
Außerdem wurden hier schon viele Schaltplan- Seiten genannt, eine dieser Seiten -eben eine amerikanische, aber es könnte jede Seite betreffen- hat mir das Schadprogramm beschert.

Edi

Hast du die datei mal an Antivir o.ä. gesendet(als Zip) zwecks untersuchung? Nur, damit dieses später auch von diversten Antivirentools entdeckt werden können.
Sowas hatte ich auch schon,das alle paar Minuten ein Werbepopup aufging. Was es war weiß ich nicht mehr,hatte jedenfalls ne zeitlang gedauert,bis ich das wieder weg hatte.

_________________
Mfg.
Mario

Ja. Steht da (3. Absatz von unten).
Mit Beschreibung der sichtbaren Wirkung.
Ist noch in Bearbeitung.

Edi

Das hatte ich nicht gelesen,mein Neffe stand neben mir und hatte mich Zugeschwätzt

_________________
Mfg.
Mario

@edi
Über welches Betriebssystem reden wir hier? Es könnte durchaus sein, dass es bei Windows XP anders aussieht, als bei Windows 7.

_________________
Gruß Stephan

Röhre gut, alles gut
Ein Wunder ist das elektrisch Licht, manchmal geht es, manchmal nicht.

RIP WDR Langenberg 720kHz (6.07.2015 - 02:00)
RIP DLF Nordkichen 549kHz (31.12.2015 - 23:50)

Ich habe XP Prof, auf 32 Bit.

Achtung !
Je nach Aufwand des Programmierers ist es auch möglich, daß jenes Schadprogramm unter Win2k, welches ja die Grundlage von XP ist, sowie unter Vista und/ oder Win 7, mindestens 32 Bit, auch anspringt !
Die genaue Schadroutine ist ja noch nicht bekannt.

Davon abgesehen, gab es ja eine ausführbare Datei (die "Schaltplan- Datei"), welche ich aber nicht mehr habe, die könnte ja ihrerseits das Betriebssystem erkennen, und angepaßte Schadsoftware installieren.

Edi

Hallo,

ich habe den Firefox Browser und für den gibt es das Programm WOT, das ist sehr nützlich, zum anderen habe ich Windows Defender und Microsoft Security Essentials aktiviert.
Bisher habe ich keine Probleme mit Viren und Co, und das ohne Externe Antiviren und Firewall Software. Und der Rechner ist nun viel Schneller.



MfG

_________________
Gruß Helmut
---------------------
Der Kluge lernt aus allem und von jedem, der Normale aus seinen Erfahrungen und der Dumme weiß alles besser. -Sokrates-

Auf jeden Fall, danke für die Bekanntmachung.
Habe dadurch nebenbei den sehr fähigen Entferner highjackthis wiederentdeckt.
Dann viel Erfol noch.
Reiner

Fuckler,
HighjackThis fand den Schädling NICHT, sondern Combofix, welches nur mit äußerster Vorsicht zu handhaben ist.

Edi

Sehr geehrte Dame, sehr geehrter Herr,
Vielen Dank für Ihre Email an Avira's Virenlabor.
...
Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
26786061 mscdexntm.dl_ 144 KB MALWARE
Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
mscdexntm.dl_ MALWARE
Die Datei 'mscdexntm.dl_' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/DillerDK.A.1 gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann. Ein Erkennungsmuster ist mit Version 7.11.27.126 der Virendefinitionsdatei (VDF) hinzugefügt.
Mit besten Grüßen
Avira Virenlabor

Edi kannst du den Trojaner evakuieren und den Quellcode sichtbar machen?

Ja,genau,dann auf dem Amiga umändern und an den Absender zurückschicken

_________________
Mfg.
Mario

Ich HABE den Trojaner als Textdatei vorliegen.

Manchmal hinterlassen "stolze Virenprogrammierer" ihren Namen, Zielorte ("Papas" Web- Adresse), o. ä. in lesbarer Form im Quellcode, der kann dann ausgelesen werden. Typisch für "Skriptkiddies", deren Antrieb reine Zerstörungsfreude ist.
Habe ich gecheckt, ich kann das ja.
In diesem Quellcode ist solches nicht lesbar, wahrscheinlich verschlüsselt, nur im Lauf wird in Echtzeit entschlüsselt.
Das Ding wurde zum Geldverdienen entwickelt, das hat ein echter Profi geproggt.

Den Quellcode kann man nicht so einfach "sichtbar" machen, da die Befehle, die Menschen in der Programmierumgebung formulieren, in Maschinencode umgewandelt (kompiliert) werden.
Da ja manche Befehle nur unter Bedingungen ausgeführt werden, muß das Schadprogramm aktiv sein, um möglichst alle Schritte, die einprogrammiert wurden, nachzuvollziehen. Das verbietet sich von selbst. Virenlabore tun dies, unter Sicherheitsvoraussetzungen, mit speziellen Werkzeug- Programmen.

Diesen Aufwand kann ich nicht treiben.

Ich habe Avira gebeten, mir mitzuteilen, WIE die Schadroutine arbeitet, ich weiß aber nicht, ob die sich die Zeit nehmen, dies zu unetrsuchen.
Es ist jedenfalls ein raffiniert programmierter Trojaner, der seine Aktivität hervorragend verbergen kann, kein laufender Prozeß wird angezeigt, jedenfalls nicht, wenn er gesucht wird, und es werden keine Einträge dauerhaft in Systemdateien hinterlegt.

Der Virus kann nur anhand seiner Signatur im Code erkannt werden. Avira hat ihn nun.

Edi

edi, vielen Dank für die Meldung, auch die an Avira. Top Reaktion!

VG Jochen

_________________
ECH81 im Eimer? Mischen impossibel.

Eine super ausfürliche Info.

_________________
Gruß Stephan

Röhre gut, alles gut
Ein Wunder ist das elektrisch Licht, manchmal geht es, manchmal nicht.

RIP WDR Langenberg 720kHz (6.07.2015 - 02:00)
RIP DLF Nordkichen 549kHz (31.12.2015 - 23:50)