Drive-By Download bei linuxbsdos.com - Windows verseucht
 

Hallo,

ich habe mir gerade beim Surfen etwas eingefangen. Ich habe bei google nach "best kde distribution 2011" gesucht und google bot mir als erstes einen Link zu linuxbsdos.com an (Konkreter Link (Vorsicht):www.linuxbsdos.com/2011/11/17/top-6-kde-distributions-of-2011/).

Die gewünschte Seite erschien nicht, stattdessen startete irgendeine Applikation, und ein Fenster (kein Browserfenster) öffnete sich und gaukelte mir einen Antiviren Check vor, der angeblich irgendwelche Schadsoftware fand (das war natürlich selbst schon Schadsoftware). Ich habe den Browser direkt gechlossen, die Netzwerkvebindung sofort deaktiviert und über den taskmanager erstmal einige dubiose Prozesse beendet. Habe dann, wie hier gefordert, von einem anderen Rechner aus Defogger und DDS geholt und dort laufen lassen. Es folgen die Logs (die mit 2.txt Endung habe ich nach dem Neustart erstellt).

Zu meinem System:

OS: Windows 7 x64 Professional (natürlich Up-2-Date)
Browser, der dem Schädling Tür geöffnet hat: Firefox 9 (auch up-2-date)

Ich benutze keine AV-Software.

Meine Platte ist per truecrpt vollverschlüsselt. Ich werde diese nun zunächst komplett entschlüsseln, damit ich Kaspersky Live Rescue per USB booten und benuten kann (es sei denn dagegen ist irgendetwas einzuwenden).

Ich würde gerne wissen, wie mit einem System mit allen Sicherheitsupdate so etwas passieren kann, zumal ich auch nichts explizit bestätigt habe oder irgendetwas mit Administrator-Rechten ausgestattet habe. Scheint eine 0day Lücke ausgenutzt worden zu sein? Um eine komplette Neuinstallation werde ich kaum herumkommen, oder?

Gruß und danke schonmal im Vorraus für die Mühe und Arbeit.

Kaspersky Live Rescue 10 (natr[lich von USB Stick gestartet und vor dem Scan geupdatet) hat bisher folgendes gefunden:

Objects Scan: completed 30 minutes ago (events: 15, objects: 2737, time: 00:02:54)

2/9/12 7:12 PM Task started

2/9/12 7:12 PM Detected: HEUR:Trojan.Win32.Generic C:/Users/Clemens/AppData/Local/Temp/0.6219982842009594.exe/UPX

2/9/12 7:12 PM Detected: HEUR:Trojan.Win32.Generic C:/Users/Clemens/AppData/Local/Temp/0.6404926362105577.exe/UPX

2/9/12 7:12 PM Untreated: HEUR:Trojan.Win32.Generic C:/Users/Clemens/AppData/Local/Temp/0.6219982842009594.exe/UPX Postponed

2/9/12 7:12 PM Untreated: HEUR:Trojan.Win32.Generic C:/Users/Clemens/AppData/Local/Temp/0.6404926362105577.exe/UPX Postponed

2/9/12 7:13 PM Detected: HEUR:Trojan.Win32.Generic C:/Users/Clemens/AppData/Local/Temp/jar_cache4306337356500788773.tmp/UPX

2/9/12 7:13 PM Untreated: HEUR:Trojan.Win32.Generic C:/Users/Clemens/AppData/Local/Temp/jar_cache4306337356500788773.tmp/UPX Postponed

2/9/12 7:13 PM Detected: Exploit.Java.CVE-2010-0840.fu C:/Users/Clemens/AppData/Local/Temp/jar_cache7737930516448192052.tmp/LOaSIj.class

2/9/12 7:13 PM Untreated: Exploit.Java.CVE-2010-0840.fu C:/Users/Clemens/AppData/Local/Temp/jar_cache7737930516448192052.tmp/LOaSIj.class Postponed

2/9/12 7:13 PM Detected: HEUR:Trojan.Win32.Generic C:/Users/Clemens/AppData/Local/Temp/0.6219982842009594.exe/UPX

2/9/12 7:14 PM Detected: HEUR:Trojan.Win32.Generic C:/Users/Clemens/AppData/Local/Temp/0.6404926362105577.exe/UPX

2/9/12 7:15 PM Detected: HEUR:Trojan.Win32.Generic C:/Users/Clemens/AppData/Local/Temp/jar_cache4306337356500788773.tmp/UPX

2/9/12 7:15 PM Detected: Exploit.Java.CVE-2010-0840.fu C:/Users/Clemens/AppData/Local/Temp/jar_cache7737930516448192052.tmp/LOaSIj.class

2/9/12 7:15 PM Deleted: Exploit.Java.CVE-2010-0840.fu C:/Users/Clemens/AppData/Local/Temp/jar_cache7737930516448192052.tmp

2/9/12 7:15 PM Task completed


Habe die Files vorerst in Quarantaene geschoben.

Ich lasse Kaspersky nun noch das gesamte Laufwerk scannen, dauert noch etwas.