Zitat:

Zitat von Shadow

Oder hat dieses JS mit Sinowal nichts zu tun, ist es ein anderer Fall?

Ich hab die Infektion nie komplett durchgespielt. "Den Anfang", das öffnen der neuen Website hab ich gesehen. Danach ist meistens nichts passiert. Hab aber auch mal gesehen, wie eine "Kiste" sofort danach neu gestartet hatte und beim Booten schon ein rootkit meldete.
Welche und wie viele Infektionen nun genau auf der Kiste drauf waren, weiss ich nicht mehr genau. Hatte damals mehrere Tools laufen lassen von "Spyware Doctor" über "Panda Anti-root-kit" bis "GMER" und "Backlight". Zusammen wurden über 100 Infektionen gemeldet. Sorry!
Ich vermute Siowal hinter dieser Infektion, weil erstens das beschriebene Muster (FTP-Passwörter, rootkit, usw.) passt und ich mich glaube an "Sinoval" als Meldung eines dieser Tools zu erinnern.

Danke für Deine Geduld und Gruss
Martin

Zitat:

Zitat von FSt_CH

Danke für Deine Geduld

Njet. Wir sind hier in der Diskussionsabteilung, und da kann man sich doch unterhalten, helfen(?). Meinunge austauschen etc ...

Ich habe aber keine Webquelle gefunden, die besagt, dass Sinowal (bei der Infektion!) ohne Adminrechte sich installieren könnte.
Ich habe keine Quelle gefunden, die behauptet, es wäre keine Interaktion (bei aktuellem System) nötig, damit die echte Malkware sich installiert. Bei alten Betriebsystemen mit z.B. ebenfalls altem Outlook Express wäre dies allerdings vorstellbar.

Es ist auch vorstellbar, dass ein bereits (unbemerkt) infizierter PC, bei einem Treffen auf "Sinowal" oder andere Malware, untypisch und überraschend reagiert. Es ist ebenfalls vorstellbar bzw. sogar ganz "normal", dass ein (befallener oder "sauberer") PC beim On-Demand-Scannen im Browser-Cache Malware-Signaturen findet. Die "muss" so sein, wenn du eine Seite mit "bösem JavaScript öffnest, schließlich wird die Seite ja in den Speicher geladen. Wird der Cache nicht (automatisch) geleert, ist der Müll da. Scannst du den Cache, wird der Müll als Fund angezeigt, auch ohne dass eine Infektion erfolgt ist.
Surfst du als "Gast" mit deaktiviertem JavaScript und würdest auf eine Webseite mit integriertem Malware-Javascript surfen, dieses Script würde mit der HTML-Seite heruntergeladen werden und im Browsercache abgelegt werden. Wegen 1.) deaktiviertem Javascript wird der Müll gar nicht gelesen und wegen 2.) könnte er selbst wenn er die Browserschranke durchbrechen könnte, nichts (sofortiges) anstellen. Und trotzdem würde im Browsercache die Virensignatur gefunden werden (wenn das JS-Schnipsel dazu ausreicht erkannt zu werden).

Allerdings testen die Antirootkit-Tools nicht den Browser-Cache. Finden die was (bzw. genau den "Freund") dann ist er vermutlich da. Aber ohne Adminrechte und ohne Interaktion geht nichts.

Hallo Shadow

Das mit den Admin-Rechten hast Du ja schon recht - ABER ...
Wie sieht ein PC eines ONU aus? Selbstverständlich ist er als Admin unterwegs, wieso auch nicht - er weiss ja nicht mal das es was anderes gibt.

Zur Interaktion ...
Ich würd Dir ja gerne glauben, habe bisher eigentlich auch immer gedacht, es müsse so sein. Nur leider hab ich bei besagtem Script die Infektion mehrfach beobachtet.
Der Aufruf einer infizierten Webseite allein genügte um das "Rösslispiel" los zu treten. Das wiederholte Aufrufen dieser Webseite mit einem bereits infizierten PC hatte keine weiteren Aktionen mehr zur Folge. Es war echt "gespenstisch", spätestens nach plötzlichen booten gehörte der PC nicht mehr seinem Besitzer.

Cache
Das ist schon klar. Ich fand über 100 Infektionen in der Registry sowie einzelne Dateien (nicht im Temp) und auch rootkits.

Schöner Abend noch
Martin

Zitat:

Zitat von FSt_CH

Hallo Shadow

Das mit den Admin-Rechten hast Du ja schon recht - ABER ...
Wie sieht ein PC eines ONU aus? Selbstverständlich ist er als Admin unterwegs, wieso auch nicht - er weiss ja nicht mal das es was anderes gibt.

Selbstverständlich ist es nicht, ich weiß aber um die Schwierigkeit, dass dies nicht so ist - es ist fast unmöglich bei ONU.
Don Quichote hatte es da noch leichter, ich gebe zu, ich habe da weitgehend resigniert.
(Da ist Vistas UAC wirklich der Weg in die richtige Richtung.)

Zitat:

Zitat von FSt_CH

Zur Interaktion ...
Ich würd Dir ja gerne glauben, habe bisher eigentlich auch immer gedacht, es müsse so sein. Nur leider hab ich bei besagtem Script die Infektion mehrfach beobachtet.

Nun, vielleicht sollte ich doch mal testen. Allerdings gibt es keine Quelle im Web die Sinowal ordentlich beschreibt, die nicht explizit behauptet, dass Interaktion nötig wäre. (Zumindest keine die ich gelesen habe). Vielleicht teste ich doch mal, alles eine Zeitfrage.