kinox.to GVU Trojaner - Win7 mit Updates, Firefox + Avast!
 

Einfacher Klick im Firefox reicht:

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.22.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Alexander :: ALEXANDER-PC [Administrator]

22.12.2012 08:45:43
mbam-log-2012-12-22 (08-45-43).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 223916
Laufzeit: 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Alexander\wgsdgsdgdsgsd.dll (Trojan.FakeMS) -> Löschen bei Neustart.
C:\Users\Alexander\AppData\Local\Temp\jffi8052148410764486232.tmp (Exploit.Drop.3P) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Alexander\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk (Trojan.Ransom.SUGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Was willst Du uns damit sagen, dass Du beim debuggen der kino.to-Seite Mist gebaut hast?

Undertaker

Nein dass Windows scheiße ist sonst dürfte ein Prozess nicht einfach nach

C:\Users\Alexander\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

ohne meine Zustimmung schreiben, ODER ?

Wobei dafür habe ich ja einen Avast! "Echtzeitschutz" und "Verhaltensschutz". Pustekuchen.

Mit welchen Rechten warst Du denn unterwegs, ich denke mal als ADMIN?
Wenn dem so ist, darfst Du, sprich der Prozeß, fast Alles.
Als ADMIN kommst Du gleich nach SYSTEM.
Nach Deinen Einstellungen in AVAST will ich garnicht fragen.
Außerdem ist ein AV-Scanner keine Garantie.

Wer den Code von Seiten wie kinox.to "beackert", muß sich schon ein bisschen besser absichern.

Undertaker

Jepp, als Admin. Wobei das nach der Installation von Win7 scheinbar der Standard ist.

Würde mich trotzdem interessieren warum Avasts Echtzeitschutz den nicht erkennt. Und vor allem welche Lücke da konkret ausgenutzt wurde.

Kann ja eigentlich nur ne Lücke in der JavaScript Engine sein.

Wohl wahr, dennoch ist das generalisiert kein Argument. Ich kann dir den Trojaner per XSS auch auf eine x-beliebige Seite pflanzen wenn diese anfällig dafür ist.

Man könnte auch fragen warum Browser nicht alle per default sandboxed / jailed sind. Wird früher oder später auch so kommen.

Zum ersten Satz:
Möglicherweise wurde er tatsächlich nicht erkannt, möglicherweise hast Du auch die Sicherheitsstufe runter geschraubt.
Ich mache das ja selbst so.
Bei Bitdefender habe ich auch Active Virus Control und das Eingriffs-Erkennungssystem deaktiviert, um die Häufigkeit der Warnungen und Fehlalarme zu minimieren.
Die Popups können ganz schön nerven.
Ich weiß aber was ich tue und wenn was schief geht, dann liegt das nicht am Defender, sondern an mir selbst.
Außerdem habe ich für die unterschiedlichen Aktivitäten auch separate System-HDDs auf Wechselträgern.
Nebenbei steht für kurze Tests Sandboxie immer zur Verfügung.

Zum zweiten Satz:
Nimm Chrome oder Sandboxie .

Undertaker

Auch wenn er schwer zu erkennen ist: gleiche Merkmale findet man bei allen GVU Trojanern. Zumindest wenn ich mir die Screenshots bei Google Bilder so anschaue.

Also kann es höchstens sein dass der Code inkl. Nutzdaten verschlüsselt ist und eine Mustererkennung keinen Erfolg hat.

Avast lief auf Standardeinstellungen - ich habe da nichts dran geändert.

Was meinst Du mit Screenshots?
Wenn Du das Erscheinungsbild meinst, dann ist das nur eine Grafik.
Die sagt garnix über die Varianten des Droppers und den Code aus.

Identische (Teil)muster, auch im Code, findest du auf jeden Fall.

Wie gesagt können die nur durch Verschlüsselung verborgen sein, d.h. die Nutzdaten werden erst auf Clientseite dekodiert. Wenn die komplett mitkompiliert sind wird es auch nicht einfacher.

Aber wie schon in einem anderen Thread geschrieben kann ich nicht von einer Lösung wie avast! erwarten dass sie ernsthaft und vollständig auf Mustersuche geht, auch wenn die Daten separat und nicht verschlüsselt sind.

Wenn das ganze so einfach ist wie du behauptest, dann entwickel doch mal Konzepte und/oder gleich Softwarelösungen, einfache, für die breite Masse. :daumenhoc

Du warst ab im anderen Thread doch "sehr stinkig" darüber, dass Avast das nicht erkannt hat - wenn man von einem Programm von vornherein weiß, dass es bestimmte Dinge nicht erfüllen kann ist es schon ziemlich merkwürdig sich dann darüber aufzuregen :balla:

Was machst du denn bei deinem Autohändler bei dem du dir am Vortag ein Auto gekauft hast? Sich gleich am nächsten Tag beschweren, dass es nicht fliegen kann?! :rolleyes:

Wie auch immer du dir das mit den identischen Teilmustern vorstellst, wenn es so einfach wäre, ja dann....
Ansonsten erläutere doch mal bitte was deine "Profi-Teile" anders machen. Und diesmal Belege bitte. Danke.