Trojaner-Board
Seite 1 von 9 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   nodejs-Malware: FireHooker/DownloadProtect (https://www.trojaner-board.de/200047-nodejs-malware-firehooker-downloadprotect.html)

webwatcher 03.10.2020 09:40
nodejs-Malware: FireHooker/DownloadProtect
 
TR/AD.FireHooker.BU Epidemie?
In 2 Tagen 7 mal aufgeschlagen, die letzte Meldung davor stammt von Mai 2019
2015 gab es auch mehrere von Meldungen

stefanbecker 03.10.2020 13:59
Und alle haben Avira. Schon seltsam. Scheint eher ein Avira-Problem zu sein.

webwatcher 03.10.2020 15:21
Zitat:
Zitat von stefanbecker (Beitrag 1740864)
Und alle haben Avira. Schon seltsam. Scheint eher ein Avira-Problem zu sein.
Seit 2015 auch gehäuft und später immer auschließlich Meldung von Avira
https://www.trojaner-board.de/174101...-gefunden.html

stefanbecker 03.10.2020 15:46
Einen Grund mehr das nicht mehr zu nutzen.

cosinus 03.10.2020 16:22
Zitat:
Zitat von webwatcher (Beitrag 1740843)
TR/AD.FireHooker.BU Epidemie?
In 2 Tagen 7 mal aufgeschlagen, die letzte Meldung davor stammt von Mai 2019
2015 gab es auch mehrere von Meldungen
Ist schon auffällig, dass alle mit diesem Fake-Nodejs Avira verwenden :wtf: :balla:
Komischerweise erkennt Avira immer nur einen Müll in tmp, aber bisher nicht den Task-Eintrag wie zB
Code:
Task: {FB9FCD3E-42B0-463A-9EED-017D9AECAEFF} - System32\Tasks\IKE- Windows Dienst => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG

cosinus 03.10.2020 16:29
In diesem Thread gibt sich der nodejs Müll als etwas von NVIDIA aus :rofl:

Code:
Task: {08271906-0943-4415-BF35-68A5C1EFA5B1} - System32\Tasks\NVIDIA Shared Holographic => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
Mal sehen was die Auswertung sagt, welche AVs diesen Müll erkennen und welche nicht :pfeiff:

M-K-D-B 03.10.2020 16:53
Das Auslesen eines dieser Adware-Tasks in diesem Thema zeigt an, dass sich Argumente im "Package Cache" Ordner aufhalten:
Zitat:
<Command>"C:\Program Files (x86)\nodejs\node.exe"</Command>
<Arguments>"C:\ProgramData\Package Cache\{15B7DD91-4D1D-4D2E-B9E0-E319C6350597}\{064C03E4-DFA8-4F01-8ED8-29BE7F03A8AD}"</Arguments>

In einigen dieser Themen findet sich auch die Adware DownloadProtect, welche sich vor ein paar Jahren im deutschsprachtigen Raum ausbreitete.

Ein Beispiel von DownloadProtect unter FF in einem dieser aktuellen Themen:
Zitat:
FF HKLM\...\Firefox\Extensions: [{D0D49F23-6E93-41A8-B019-7F1162672FE6}] - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi
C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}
FF Extension: ( ) - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi [2020-10-01]
FF HKLM-x32\...\Firefox\Extensions: [{D0D49F23-6E93-41A8-B019-7F1162672FE6}] - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi

M-K-D-B 03.10.2020 16:56
In diesem Thema verascht die Adware scheinbar das installierte Avira selbst:
Zitat:
Task: {A56AC1F8-ABED-46D0-8679-76754ABCFB79} - System32\Tasks\USB Distributed Avira => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
:uglyhammer::uglyhammer::uglyhammer:


Schon irgendwie peinlich für Avira... deutsche Adware wird von einem deutschen Sicherheitsunternehmen, das sich für so gut hält, nicht erkannt. :D

cosinus 03.10.2020 16:57
hrhrhrhr der ist ja goil! :lach: :rofl:

M-K-D-B 03.10.2020 17:00
Vielleicht gehören diese nodejs-Adware und DownloadProtect zusammen und letzteres wird im Hintergrund heruntergeladen... :lach:

Mal sehen, ob das zu einer neuen Plage wird... :aufsmaul:

cosinus 03.10.2020 17:07
Oder das ist Bestandteil von Avira (weil alle die das haben ja auch Avira nutzen) als heimlicher askbar Ersatz

M-K-D-B 03.10.2020 17:09
Zitat:
Zitat von cosinus (Beitrag 1740903)
Oder das ist Bestandteil von Avira (weil alle die das haben ja auch Avira nutzen) als heimlicher askbar Ersatz
:uglyhammer::uglyhammer::uglyhammer::uglyhammer:

Avira scheint zumindest das einzige AV zu sein, dass temporäre .exe Dateien, welche die Adware erzeugt, zu erkennen. :)



Edit:
Ich lass ab sofort immer die TASK-Datei mit CMD auslesen, um an den Pfad der Argumente zu kommen... gleichzeitig lass ich den Package Cache Ordner auslesen... :D

cosinus 03.10.2020 17:11
D.h. Avira ist momentan das einzige AV, dass diesen Mist (teilweise) erkennt? :wtf:
Alle anderen erkennen garnichts davon?

M-K-D-B 03.10.2020 17:12
Zitat:
Zitat von cosinus (Beitrag 1740906)
D.h. Avira ist momentan das einzige AV, dass diesen Mist (teilweise) erkennt? :wtf:
Alle anderen erkennen garnichts davon?
Ich denke nicht. :)
Du darfst mich aber gerne korrigieren (mit Beleg natürlich). :lach:

cosinus 03.10.2020 17:18
Naja, ist die Frage warum ALLE mit diesem Problem Avira installiert haben.

Möglichkeit 1: nur Avira erkennt den Mist, daher schlagen Leute mit anderen AV hier im TB nicht auf obwohl sie den Mist auch drauf haben
Möglichkeit 2: der Mist ist nur auf Maschinen drauf, wo auch Avira drauf ist, weil Avira das heimlich selbst installiert
Möglichkeit 3: nur Avira erkennt diesen Mist nicht, andere AV haben ihn vor der Infektion schon erkannt


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:54 Uhr.
Seite 1 von 9 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22