Zitat:

Zitat von DV-Opa

Hallo zusammen,

wenn wir wirklich rausbekommen wollen, wie der BKA/Ukash/Gema-Trojaner funktioniert, müssen wir dem genau nachgehen, was mightym8 und Cnork hier schreiben.

Dass die neueren Versionen des Trojaners versuchen, den Start des Taskmanagers zu verhindern, erscheint mir plausibel, da man zuvor (als ich selbst betroffen war) ja durch einen geschickten Start des Taskmanagers und danach des Explorers, in der Lage war, sich selbst aus der Trojanerumklammerung zu befreien.


Sehr interessant ist, wie im letzten Beitrag beschrieben wird, wie das Skript (?) die Infektion herbeigeführt hat. Was mich erstaunt, denn bei diesen Trojanern wird in den Foren berichtet, dass sie sich über Tage und Wochen "schlafen" legen können, bevor sie aktiv werden.

Der pauschale Rat, das gesamte System neu aufzusetzen, um wieder einen sauberen PC zu haben, greift doch zu kurz und verursacht für viele einen gewaltigen (unnötigen ?) Aufwand. Also bleibt dran, auch wenn der Erfolg nicht gesichert ist !

Gruß DV-Opa

Auch fände ich interessant, wie die Windows-Rechner konfiguriert waren bei der Infektion.

Bei mir ist es mit XP mit eingeschränktem Konto folgendermaßen abgelaufen:

Im Firefox8 gingen ca 5 neue Tabs auf. Oft erscheinen dann beim Schließen Javascript Pop-Ups die Fragen "Wollen Sie wirklich diese Seite verlassen?".
Mein Pop-Up sah aber anders aus als die grauen Windows-Fenster, es war nämlich pastellfarben was ich im nachhinein als Java-Programm, nicht als Javascript deute?!

Ich konnte mit einer anderen Windowspartition starten, habe nach den neuesten .exe Dateien gesucht und diese gekillt nachdem ich vorher diese zum prüfen ins Internet geladen hatte. Nur 2 von 20 Online-Virenscannern haben den Trojaner erkannt.

Nach dem Neustart habe ich noch den Run-Eintrag in der Registrierung des Benutzers entfernt.

Bei einem Kollegen habe ich auch die .exe und einen Eintrag im Autostart gefunden.

Ich habe *nicht* neu installiert und beobachte weiter.

Wie gesagt, ich glaube nicht, dass alle Malware, die sich so zeigt, auch identisch primitiv läuft (wenn sie schon installiert ist)

Zitat:

Zitat von mlebek

Ich konnte mit einer anderen Windowspartition starten, habe nach den neuesten .exe Dateien gesucht

AFAIK (zumindest bei einigen Varianten!) tut es der abgesicherte Modus auch und ein Blick in die Autostartdateien. Ist wie bei Malware von vor 10 Jahren - deshalb trau ich dem Zeug nicht ganz.

Mit welchem Browser in welcher Version (möglichst) genau warst du denn auf welcher Seite?

Zitat:

Zitat von cosinus

Mit welchem Browser in welcher Version (möglichst) genau warst du denn auf welcher Seite?

Ich benutze ausschließlich Firefox 8.0, welches genau die Seite war kann ich dir leider nicht sagen, ich habe bei Google nach Seiten zu White-Box-Frameworks gesucht, angeblich war es eine Seite mit Tutorials, als ich auf der Seite war ging alles zu schnell um sich die Adresse zu merken, ich hab das JavaScript laden gesehen, noch das „Error“ gelesen und dann war mein Benutzerinterface weg, das ganze hat ~1-2sek gedauert, der Browserverlauf war danach gelöscht.


Was die Dissamblessierung angeht hab ich bei weitem zu wenig "Knowhow" um mich problemlos in einem fremden Code zurechtzufinden, deswegen ist das hier mehr oder weniger spekulativ, was ich auf den ersten Blick interessantes gefunden habe:

-Einen DLLEntryPoint der scheinbar mit einem Timer zusammenhängt, (möglicher Bezug zum "schlafen" des Trojaners) (ist ein Export der 0.9702746935792479.exe)

-Elemente und Definitionen zum Aufbau eines Menüs dienen könnten (GetMenuItemCount. ReplyMessage etc)

-Ein Muster das für mich so Aussieht als ob es Packetdaten die an Amazon gehen sollen abfischt.

-Das Parameter „SuppS“ mit dem die Rundll32.exe gestartet wird, ist ein Export der 0.9702746935792479.exe

-Die 0.9702746935792479.exe importiert Funktionen wie GetFileAtributes, SetFileApisToOEM aus verschiedenen Biblioteken.


Wenn ihr selber mal reinschauen wollt könnt ihr euch die Dateien hier laden, seid vorsichtig damit. hxxp://www.file-upload.net/download-3951125/Virus.zip.html

Gruß
Cnork