Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: nodejs-Malware: FireHooker/DownloadProtect

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 11.10.2020, 11:13   #91
webwatcher
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Inzwischen sind fast 20 mit demselben Problem aufgetaucht und es dürfte nur die Spitze des Eisberg sein, da viele durch Lesen der Infos/Threads sich selber helfen können.

Frage ist, warum diese Verseuchung so plötzlich aufgetaucht ist, denn der Müll wurde schon vorher/früher jahrelang runtergeladen z.T. auch mit sichtbaren Folgen, aber das ist schon etwas her. Möglicherweise hat man am "Beipack" gebastelt.
__________________
Glaub ja nicht, was du denkst, wer ich bin

Alt 11.10.2020, 11:51   #92
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von webwatcher Beitrag anzeigen
Inzwischen sind fast 20 mit demselben Problem aufgetaucht und es dürfte nur die Spitze des Eisberg sein, da viele durch Lesen der Infos/Threads sich selber helfen können.
Klar ist das nur die Spitze des Eisbergs... du kannst von Hunderten/Tausenden infizierten Rechnern in Deutschland ausgehen... vielleicht auch mehr.


Zitat:
Zitat von webwatcher Beitrag anzeigen
Frage ist, warum diese Verseuchung so plötzlich aufgetaucht ist, denn der Müll wurde schon vorher/früher jahrelang runtergeladen z.T. auch mit sichtbaren Folgen, aber das ist schon etwas her. Möglicherweise hat man am "Beipack" gebastelt.
Diese Malware gibt es schon länger... die Nutzer, die bei uns aufgeschlagen sind, sind ja nicht direkt/speziell wegen dieser Malware hier, also weil ein AV den Ursprung moniert und nicht entfernen kann, sondern weil ein AV lediglich im temporären Ordner eine schadhafte .exe registriert hat.
Und wenn ein AV gar nichts moniert, denken die meisten Menschen, dass der Rechner sauber sein muss.

Im Prinzip ist die Malware ja gut gemacht. Es wird ein Task erstellt, dazu werden zum Beispiel Teile von Windows-Diensten/Prozessen bzw. deren Beschreibungen oder bekannte legitime Namen von Software-Firmen als Name verwendet, um nicht aufzufallen. Dann lenkt man den Task auf eine legitime .exe, die bei VT immer als clean zurückkommt. Im Task gibt man dann aber als Argument ein, dass eine Javascript-Datei schadhaften Code ausführen soll.

Intelligent gemacht... ähnlich klug wie die Malware Mediyes damals.
__________________


Alt 11.10.2020, 19:26   #93
webwatcher
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Laut virustotal läuft er bei M$ unter dem Alias Trojan:Win32/Occamy.AB

https://www.microsoft.com/en-us/wdsi...tID=2147755095
Zitat:
published May 15, 2020 | Updated
Trojan:Win32/Occamy.AB
Detected by Microsoft Defender Antivirus
Windows Defender Antivirus detects and removes this threat.
This threat can perform a number of actions of a malicious hacker's choice on your PC.
Es könnte sein. dass die User, die nur auf Defender setzen, gar nichts oder nur wenig davon gemerkt haben.
__________________
__________________

Alt 11.10.2020, 19:38   #94
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Vielleicht ist es auch genau die Malware, die hier beschrieben wird:
Nodersok: Microsoft warnt vor neuer Malware, die Web-App-Technologie nutzt

Geändert von M-K-D-B (12.10.2020 um 13:39 Uhr)

Alt 13.10.2020, 16:53   #95
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Und scheinbar wars das dann auch schon wieder mit Themen diesbezüglich...
Vielleicht haben die Malware-Autoren eine kleine Änderung vorgenommen und die Antivirenprogramme finden nichts mehr... wirklich viel haben sie ja sowieso nicht gefunden.
Dann kann die Malware wieder weiter unbemerkt im Hintergrund arbeiten.


Alt 13.10.2020, 19:18   #96
webwatcher
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Das Thema Firehooker scheint ausgestanden zu sein. Vielleicht noch ein paar Nachzügler.

Mal sehen, ob das ein neuer Kandidat ist: Misleading:Win32/Lodi Virus

in diesem Zusammenhang hab ich mal bei M$ gestöbert:
https://www.microsoft.com/en-us/wdsi...hreatID=268893
Zitat:
Misleading:Win32/Lodi!MTB
Detected by Microsoft Defender Antivirus
https://support.microsoft.com/en-us/...infect-your-pc
Zitat:
How malware can infect your PC
Applies to: SecurityWindows
These are some of the most common ways that your devices can get infected with malware.
https://support.microsoft.com/en-us/help/4562299
Zitat:
Protect your PC from potentially unwanted applications
Zitat:
Um die potenziell unerwünschte App-Blockierung zu aktivieren, gehen Sie zu Start> Einstellungen> Update & Sicherheit> Windows-Sicherheit> App- und Browsersteuerung> Zuverlässigkeitsbasierter > Schutz > Potentiell unerwünschte Apps werden blockiert
Gibt es Erfahrungen über Handhabung und Zuverlässigkeit? nach welchen Kriterien wird blockiert?
__________________
--> nodejs-Malware: FireHooker/DownloadProtect

Alt 13.10.2020, 19:35   #97
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Dann kann die Malware wieder weiter unbemerkt im Hintergrund arbeiten.
Naja, der Trick mit der node.exe als Task ist ja entlarvt. Fragt sich was die sich noch ausdenken bzw was noch alles lauffähig ist ohne node.exe bzw wenn man diesen ominösen Ordner in %windir%\installer oder %windir%\packages löscht.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.10.2020, 19:54   #98
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von cosinus Beitrag anzeigen
Naja, der Trick mit der node.exe als Task ist ja entlarvt. Fragt sich was die sich noch ausdenken bzw was noch alles lauffähig ist ohne node.exe bzw wenn man diesen ominösen Ordner in %windir%\installer oder %windir%\packages löscht.
Und du denkst, nur weil wir diesen Trick entlarvt haben, hören die damit auf? Es ist unwahrscheinlich, dass die Malware-Autoren in Foren mitlesen und merken... oh, die haben unsere Malware enttarnt, wir müssen was ändern. Die interessieren sich nur dafür, ob ihre Malware von AV-Programmen erkannt werden, weil sie genau wissen, dass sich fast alle Menschen blind auf diese Tools verlassen.

Die meisten/fast alle/falle AV-Hersteller haben diese Malware doch gar nicht auf dem Schirm. Wer erkennt denn diese Malware richtig/vollständig, sobald sie auf einem System ist?

Alt 13.10.2020, 20:06   #99
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Und du denkst, nur weil wir diesen Trick entlarvt haben, hören die damit auf?
Nö, das hab ich ja nichtmal zwischen den Zeilen geschrieben


Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Es ist unwahrscheinlich, dass die Malware-Autoren in Foren mitlesen und merken...
Also hier lesen bestimmt so einige mit, wenn auch keine ausländischen Cracker


Zitat:
Zitat von M-K-D-B Beitrag anzeigen
oh, die haben unsere Malware enttarnt, wir müssen was ändern.
Die interessieren sich nur dafür, ob ihre Malware von AV-Programmen erkannt werden, weil sie genau wissen, dass sich fast alle Menschen blind auf diese Tools verlassen.
Also irgendwann werden die garantiert was ändern. Spätestens dann, wenn mehr AVP das Argument für die node.exe erkennen. Mir geht das auch etwas zu einfach mit den Browser-Addons, zeigt denn kein Browser mehr an, dass sich da seit dem letzten Start was verändert hat?


Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Die meisten/fast alle/falle AV-Hersteller haben diese Malware doch gar nicht auf dem Schirm. Wer erkennt denn diese Malware richtig/vollständig, sobald sie auf einem System ist?
Vllt wird es mal wieder Zeit, die AV-Labs direkt anzuschreiben, früher hatten wir das noch gemacht.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.10.2020, 20:13   #100
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



So, nochmal nachgeschaut, was mit der der Datei (siehe Beitrag #20), die zuerst am 4. Oktober ausgewertet wurde, nun erkennen 19 Scanner da was

Aber was nützt wenn dieser JavaScript auf jeder Maschine anders verschleiert ist...
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.10.2020, 15:54   #101
Darklord666
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Das Fazit ist wiedermal. Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker.....

Alt 14.10.2020, 16:17   #102
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von Darklord666 Beitrag anzeigen
Das Fazit ist wiedermal. Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker.....
Ublock origin warnt vor audacity.de. Wer nichts dergleichen nutzt, dem fehlt dieser erste proaktive Schutz, genau.
Nicht umsonst empfehlen wir dieses Add-on schon länger. Es hat sich schon mehrfach gezeigt, dass "ublock origin" dem Add-on "Adblock Plus" überlegen ist.

Geändert von M-K-D-B (14.10.2020 um 16:37 Uhr)

Alt 14.10.2020, 20:39   #103
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von Darklord666 Beitrag anzeigen
Das Fazit ist wiedermal. Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker.....
Das hat doch nichts damit zun, JavaScript oder anderen Krempel im Browser zu blockieren. Diese JavaScript-Malware wird nicht im Browser ausgeführt, was meinst du wohl wofür die node.exe da ist
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.10.2020, 10:44   #104
Darklord666
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von cosinus Beitrag anzeigen
Das hat doch nichts damit zun, JavaScript oder anderen Krempel im Browser zu blockieren. Diese JavaScript-Malware wird nicht im Browser ausgeführt, was meinst du wohl wofür die node.exe da ist
HÄ? Steht doch in dem Beitrag das Ad-/Skriptblocker nutzen.

"Ausgangspunkt der Infektion soll dabei eine HTA-Datei, also eine ausführbare HTML-Datei, sein, die Nutzer etwa per Klick auf einer entsprechend präparierten Website herunterladen oder über eine Schadwerbung eingespielt bekommen. Diese beinhaltet verschlüsselte Skripte, die auf der Powershell, mit VBA und mit JavaScript arbeiten. Auf der Ebene der Powershell, also auf der Kommandozeile, versucht das Skript zunächst, den Windows Defender abzuschalten, um die weiteren Schritte ungestört gehen zu können."


Alt 15.10.2020, 10:50   #105
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Also jetzt kommt irgendwie alles durcheinander

Die Infektion mit nodejs und dem Argument in C:\Packages\... erfolgte ja über ein manipuliertes audacity-setup von der Arschlochseite audacity.de - da hilft ja kein Scriptblocker. Denn das Setup wird nicht vom Browser ausgeführt

Eigentlich ist das auch ein Unding, dass einfach so Software installiert wird, nur weil man mit dem Browser irgendwas ansurft. Wie soll die Malware denn nach C:\Programme und C:\Windows etwas schreiben? Das geht doch nur mit Adminrechten. Was hilft denn da ein Scriptblocker wenn der user eh alles durchwinkt?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu nodejs-Malware: FireHooker/DownloadProtect
tr/ad.firehooker.bu




Ähnliche Themen: nodejs-Malware: FireHooker/DownloadProtect


  1. Win 10 TR/AD.FireHooker.BU
    Log-Analyse und Auswertung - 14.10.2020 (36)
  2. Win 10: TR/AD Firehooker.BU
    Log-Analyse und Auswertung - 04.10.2020 (10)
  3. TR/AD.Firehooker.BU
    Log-Analyse und Auswertung - 04.10.2020 (10)
  4. TR/AD.FireHooker.B
    Log-Analyse und Auswertung - 30.05.2019 (32)
  5. Neuer 2 Fragen: Windows10 PC PUP.DownloadProtect.Heuristic / Anrufe von den Osterinseln
    Plagegeister aller Art und deren Bekämpfung - 11.07.2018 (4)
  6. Neuer 2 Fragen: Windows10 PC PUP.DownloadProtect.Heuristic / Anrufe von den Osterinseln
    Mülltonne - 07.07.2018 (1)
  7. Was ist nodejs. ?
    Log-Analyse und Auswertung - 01.04.2017 (11)
  8. FireHooker im System32 ordner
    Plagegeister aller Art und deren Bekämpfung - 17.03.2016 (12)
  9. Windows 8.1 Trojan.Win32.Firehooker.a
    Log-Analyse und Auswertung - 07.03.2016 (15)
  10. Malwarebytes findet 35x PUB.Optional DownloadProtect Malware
    Plagegeister aller Art und deren Bekämpfung - 12.02.2016 (9)
  11. Trojaner Firehooker 18.25 eingefangen
    Log-Analyse und Auswertung - 17.12.2015 (17)
  12. TR/FireHooker.1825 und DownloadProtect
    Log-Analyse und Auswertung - 08.12.2015 (6)
  13. TR/FireHooker.1825 von AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.12.2015 (14)
  14. Trojan.Win32.FireHooker.a gefunden
    Mülltonne - 28.11.2015 (1)
  15. DownloadProtect Extension Version 1.0.0.1 lasst sich nicht vom MS Internet Explorer entfernen
    Log-Analyse und Auswertung - 17.08.2015 (34)
  16. PUP.OPTIONAL.DOWNLOADPROTECT.A durch Malwarebytes gefunden
    Plagegeister aller Art und deren Bekämpfung - 09.08.2015 (8)
  17. DownloadProtect 2.2.1 lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 20.07.2014 (7)

Zum Thema nodejs-Malware: FireHooker/DownloadProtect - Inzwischen sind fast 20 mit demselben Problem aufgetaucht und es dürfte nur die Spitze des Eisberg sein, da viele durch Lesen der Infos/Threads sich selber helfen können. Frage ist, warum - nodejs-Malware: FireHooker/DownloadProtect...
Archiv
Du betrachtest: nodejs-Malware: FireHooker/DownloadProtect auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.