nodejs-Malware: FireHooker/DownloadProtect

cosinus · 03.10.2020, 16:57

hrhrhrhr der ist ja goil!

M-K-D-B · 03.10.2020, 17:00

Vielleicht gehören diese nodejs-Adware und DownloadProtect zusammen und letzteres wird im Hintergrund heruntergeladen...

Mal sehen, ob das zu einer neuen Plage wird...

cosinus · 03.10.2020, 17:07

Oder das ist Bestandteil von Avira (weil alle die das haben ja auch Avira nutzen) als heimlicher askbar Ersatz

M-K-D-B · 03.10.2020, 17:09

Zitat:

Zitat von cosinus

Oder das ist Bestandteil von Avira (weil alle die das haben ja auch Avira nutzen) als heimlicher askbar Ersatz

Avira scheint zumindest das einzige AV zu sein, dass temporäre .exe Dateien, welche die Adware erzeugt, zu erkennen.

Edit:
Ich lass ab sofort immer die TASK-Datei mit CMD auslesen, um an den Pfad der Argumente zu kommen... gleichzeitig lass ich den Package Cache Ordner auslesen...

cosinus · 03.10.2020, 17:11

D.h. Avira ist momentan das einzige AV, dass diesen Mist (teilweise) erkennt?

Alle anderen erkennen garnichts davon?

M-K-D-B · 03.10.2020, 17:12

Zitat:

Zitat von cosinus

D.h. Avira ist momentan das einzige AV, dass diesen Mist (teilweise) erkennt?

Alle anderen erkennen garnichts davon?

Ich denke nicht.

Du darfst mich aber gerne korrigieren (mit Beleg natürlich).

cosinus · 03.10.2020, 17:18

Naja, ist die Frage warum ALLE mit diesem Problem Avira installiert haben.

Möglichkeit 1: nur Avira erkennt den Mist, daher schlagen Leute mit anderen AV hier im TB nicht auf obwohl sie den Mist auch drauf haben
Möglichkeit 2: der Mist ist nur auf Maschinen drauf, wo auch Avira drauf ist, weil Avira das heimlich selbst installiert
Möglichkeit 3: nur Avira erkennt diesen Mist nicht, andere AV haben ihn vor der Infektion schon erkannt

webwatcher · 04.10.2020, 11:35

Läuft wohl unter verschiedensten Aliassen:

https://www.virustotal.com/gui/file/...ad91/detection

cosinus · 04.10.2020, 21:01

Ja...ich versuch dran zu denken...

..

M-K-D-B · 04.10.2020, 21:02

Gibt es einen Decoder für sowas?

Zitat:

/*e0JCNjUwMTNFLTRCNEMtNDQ0My04RkExLTU0NkE1OTRCMUMwQX18MS4wLjM=*/var _0x666d=['V0NX','dW5saW5rU3luYw\x3d (...)

M-K-D-B · 04.10.2020, 21:08

Und in mind. jedem zweiten Thema ist die Adware DownloadProtect auf dem System... du kannst sagen, was du willst... dieser Mist gehört doch zusammen.

Echt ausgeklügelt diese Adware... aber nicht gut genug für uns.

cosinus · 04.10.2020, 21:08

Das sieht nach base64 aus...probier mal dort --> https://www.base64decode.org/

M-K-D-B · 04.10.2020, 21:12

Schon probiert... da kommt nur Müll bei mir raus...

cosinus · 04.10.2020, 21:14

Naja, ein paar Brocken kann ich dann entziffern wie zB

{557DCE9A-B3ED-4D13-BA7B-89F4157E75C9}|1.0.3
SArmdir outputquerystring1
npm.cmd
readFileSyncbkthGflastIndexOf1
base64utf-81֤6ִ
slice1VdDUD5$TT

M-K-D-B · 04.10.2020, 21:16

Ich taufe diese Adware jetzt mal für mich "DownladProtect_verwandt" (solange ich nix besseres finde)...

03.10.2020, 16:57	#1
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	nodejs-Malware: FireHooker/DownloadProtect hrhrhrhr der ist ja goil! __________________ Logfiles bitte immer in CODE-Tags posten

03.10.2020, 17:00	#2
M-K-D-B /// TB-Ausbilder	nodejs-Malware: FireHooker/DownloadProtect Vielleicht gehören diese nodejs-Adware und DownloadProtect zusammen und letzteres wird im Hintergrund heruntergeladen... Mal sehen, ob das zu einer neuen Plage wird... __________________

03.10.2020, 17:07	#3
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	nodejs-Malware: FireHooker/DownloadProtect Oder das ist Bestandteil von Avira (weil alle die das haben ja auch Avira nutzen) als heimlicher askbar Ersatz __________________ __________________

03.10.2020, 17:11	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	nodejs-Malware: FireHooker/DownloadProtect D.h. Avira ist momentan das einzige AV, dass diesen Mist (teilweise) erkennt? Alle anderen erkennen garnichts davon? __________________ Logfiles bitte immer in CODE-Tags posten

04.10.2020, 21:01	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	nodejs-Malware: FireHooker/DownloadProtect Ja...ich versuch dran zu denken..... __________________ Logfiles bitte immer in CODE-Tags posten

nodejs-Malware: FireHooker/DownloadProtect

Diskussionsforum: nodejs-Malware: FireHooker/DownloadProtect