FAQs und Schritte gegen den Virus Trojaner Trojan.Agent/Gen

Dieser Virus Trojan.Agent/Gen wird sich mit hoher Wahrscheinlichkeit im Netz verbreiten wie ein Lauffeuer. Wer ihn heute noch nicht hat, kann ich morgen bereits haben. Ich möchte hier niemanden Angst einjagen, sondern schlicht und ergreifend zu erhöhter Vorsicht mahnen. Nachfolgend fass ich im FAQ-Stil einfach mal zusammen, was mir bis dato über diesen Virus sowie seine Entfernung bekannt ist. Ich hoffe hiermit dem ein oder anderen von Euch helfen zu können.

Wie fange ich mir diesen Virus ein?
Mit hoher Wahrscheinlichkeit verbreitet sich dieser Virus indem man eine infizierte Seite im Netz ansurft.

Gibt es ein Virenprogramm oder sonstige Software die diesen Virus erkennt?
Bis dato ist mir noch nichts bekannt. Das bedeutet, dass sich dieser Virus zum jetzigen Stand mit hoher Wahrscheinlichkeit völlig unbemerkt auf dem entsprechenden Rechner installiert. Meine Firewall schlug z.B. an, dennoch gingen die Auswirkungen dieses Virus um die Firewall irgendwie herum. Das Programm „SUPER AntiSpyware Free Edition“ hat ihn aber zumindest in meinem Autostart entdecken und herausnehmen können.

Welche Anzeichen finde ich auf meinem Rechner manuell für diesen Virus?
Eine Datei siszyd32.exe im Autostart sowie mit hoher Wahrscheinlichkeit eine oder mehrere Tempdateien im Windows Temp Ordner (z.B. ~tm60.tmp). Zudem setzt sich der Virus in die temporären Internetdateien der entsprechend infizierten angesurften Internetseiten.

Was kann ich tun, um diesen Virus auf meinem Rechner vorzubeugen?
Das wichtigste ist allen voran, dass in FTP Programmen keinerlei Passwörter mehr gespeichert werden. Das verhindert zwar nicht den Virus selbst, aber zumindest dessen Auswirkungen auf die entsprechenden Domains. Also am besten sämtliche FTP Passwörter ändern und nirgends speichern, vor allem nicht in einem FTP Client!
Weiter halte ich es für wichtig öfters am Tag seine temporären Internetdateien zu löschen und auch hin und wieder nach dem Vorhandensein der oben genannten Dateien auf dem lokalen Rechner zu suchen.

Was macht dieser Virus genau?
Dieser Virus sucht auf dem lokalen Rechner nach FTP Programmen, holt sich die darin enthaltenen Zugangsdaten heraus und schickt sich wahrscheinlich nach China. Von dort aus wird sich auf den entsprechenden Domains via FTP eingewählt und einige Dateien werden gehackt.

Wie erkenne ich, ob mein Blog bereits gehackt wurde?
Dieser Virus schreibt in einige PHP Dateien, die mit index oder default beginnen sowie in sämtliche Javascript Dateien. In Wordpress Blogs brauchst Du z.B. einfach nur die index.php auf Deinem Server öffnen, ganz nach unten scrollen und nach einem script suchen, das mit #<script>/*GNU GPL*/ try{window.onload = function(){var Foykd9quq4zlf = beginnt. In infizierten Wordpress Blogs steht dieses auch häufig im Quellcode auf der Startseite. Im Ordner wp-includes wird dieses Script auch in die Dateien default-filters.php, default-widgets.php und default-embeds.php geschrieben.

Dieser Virus schreibt sich nach und nach in allen möglichen Dateien von Wordpress. Darin eingeschlossen sind auch sämtliche Plugins und Theme-Dateien. Einfach alles, was auf dem Webspace zu finden ist!

Was mache ich wenn mein Blog gehackt wurde?
Zu erst einmal die FTP Zugangsdaten ändern! Das FTP Passwort auf gar keinen Fall mehr im FTP Client speichern.
Danach hilft eigentlich nur noch sich via FTP einzuloggen, alles zu löschen und eine komplette Neuinstallation zu vollziehen (alle Plugins und Themes inbegriffen). Glück hat hier der, der auf einen sauberen Backup zugreifen kann. Einen solchen hat man entweder lokal auf dem Rechner gespeichert oder man kann auch beim Hoster anfragen. Der Backup beim Hoster muss aber unbedingt von vor dem ersten Hack Angriff sein (Datum und Uhrzeit der geänderten Wordpress Dateien vergleichen).

25.12.2009 |
 Autor: Crazy Girl |
 Themenbereich: Tipps und Tricks
Tags: ,
Trackback URL: http://www.crazytoast.de/2009/12/tipps-und-tricks/faqs-und-schritte-gegen-den-virus-trojan-agent-gen.html/trackback/
Ähnliche Beiträge:
↑ Ganz nach oben springen ↑
↓ zum kommentieren springen ↓
49 Reaktionen:
2 Trackbacks:
  1.  » Trojan.Agent/Gen – Trojaner macht auch vor Blogger nicht halt - web-newspaper, am 30. Dezember 2009:

    [...] Informationen dazu findet ihr bei tech-evangelist.com (Englisch) und Tanja gibt auch noch wertvolle Tipps, um das Schlimmste zu [...]

  1.  siszyd32 -Seite 2 - www.computerschutz.net - Strategie statt Lethargie, am 4. Januar 2010:

    [...] [...]

47 Kommentare:
  1. Jeffrey schrieb am 25. Dezember 2009 um 20:10 Uhr:

    Danke für deine Bemühungen!

    Bis jetzt hat es mich glücklicherweise nicht erwischt. Da ich Passwörter generell nicht speichere, sollte das auch so bleiben :)

  2. Crazy Girl antwortete am 25. Dezember 2009 um 20:22 Uhr:

    @Jeffrey: Gute Entscheidung in diesem Fall, Passwörter generell nicht zu speichern ;-)

  3. Jeffrey schrieb am 25. Dezember 2009 um 20:37 Uhr:

    Ich benutze einfach KeePass als Passwort Safe, dann ist das kein Thema :)

  4. Kim schrieb am 25. Dezember 2009 um 20:44 Uhr:

    Die Frage, die sich mir jetzt stellt: Wie verbreitet sich das Teil auf den Client? Das muss ja irgendeine Lücke im Browser ausnutzen. Die Frage hier: Welche Browser sind betroffen? Kann ja hauptsächlich wohl nur ne Internet-Explorer-Schwachstelle sein, oder?

  5. Crazy Girl antwortete am 25. Dezember 2009 um 20:50 Uhr:

    @Jeffrey: Davon habe ich auch schon gehört ;-) Wenn es hilft, ist es gut.

    @Kim: Sorry, das geht ein bissi zu tief rein, von der Materie verstehe ich nix. Von dem einen von dem ich weiß, dass er ihn sich die Tage geholt hat, bezweifle ich sehr stark, dass er den IE nutzt. Der andere von dem ich noch weiß nutzt m.E. IE8. Ich war heute mit dem IE unterwegs. Kann eine IE Schwachstelle sein, aber so ganz glaube ich das nicht.

  6. Kim schrieb am 25. Dezember 2009 um 20:54 Uhr:

    Hm… warten wir einfach mal ab. Wenn ich im Internet nach der Virenbezeichnung google, die du oben angegeben hast, kommen einige Beiträge, die aber auch teilweise schon von September diesen Jahres sind… also so ganz unbekannt scheint er nicht zu sein.

    Denke mal, wichtig ist jetzt auch wieder einmal, darauf hinzuweisen, wie wichtig Betriebssystem-Updates sind. Speziell die Windows-Updates sollte man nicht vernachlässigen. Denn, sollte es eine ältere Lücke im Internet-Explorer z.B. sein, lassen sich diese auf diesem Weg ganz einfach beheben.

  7. Jeffrey schrieb am 25. Dezember 2009 um 20:57 Uhr:

    @ Crazy Girl

    So habe ich überall unterschiedliche Passwörter und muss die nicht alle auswendig kennen :)

    @Kim

    Da stimmte ich dir zu.
    Laut meinen Recherchen gibt es den schon länger, nur er besitzt bereits eine Menge weitere Namen.

  8. Crazy Girl antwortete am 25. Dezember 2009 um 20:57 Uhr:

    @Kim: Such mal nach der Scriptzeile, die ich oben im Artikel gepostet habe. Das geht zurück bis 18.12. wenn ich mich richtig entsinne. Ich habe vorhin zu Markus im anderen Artikel schon gesagt, dass es vielleicht ein Alter im neuen Gewand ist.

  9. Noxed schrieb am 26. Dezember 2009 um 01:01 Uhr:

    Also ich nutze NoScript mit FF und seiten die ich nicht freigegeben habe, öffnet er kein einziges Script, evtl. kann es auch am IE gelegen habe.

    Firewall bzw. Securityprogramm benutze ich Kostenpflichtig Pandasecurity 2010.

  10. Mac_BetH schrieb am 26. Dezember 2009 um 02:04 Uhr:

    Hallo Tanja,

    vielen Dank für die oben zusammengefassten FAQs. Leider haben Sie nicht verhindert, dass ich den Plugins Ordner in dem sich relativ viele Javascripts befinden, umzubenennen, und morgen werde ich die Seite neu aufbauen, aus einem alten Update heraus, bzw. einer Sicherheitskopie!

    Denn leider ist auch meine Hompage betroffen! :-(

    Gruß

    Matthias

  11. Crazy Girl antwortete am 26. Dezember 2009 um 07:34 Uhr:

    @Noxed: Manches nützt, manches nützt in diesem Fall nicht. Ehrlich gesagt ist noch keine so schlau draus geworden wer sich wann warum diesen Virus gezogen hat.

    @Matthias: Es tut mir sehr leid. Ich habe gestern 7 Domains komplett neu installiert und heute werden noch ein paar folgen. Was für ein Sch… :-(

  12. Noxed schrieb am 26. Dezember 2009 um 15:56 Uhr:

    Das ist komisch, was benutzt du denn für nen Browser Mac_BetH.

    Ich habe mal Backups erstellt, aber mein Hoster macht jeden Tag Backup von meinem Webserver, mein NoScript habe ich auch Schärfer eingestellt für FF auch zugelassene Seiten werden absofort keine Scripte ungewollt geöffnet.

    Ich habe mal in den bekannten Dateien geschaut, bis jetzt ist alles sauber, hoffe das bleibt auch so.

  13. Crazy Girl antwortete am 26. Dezember 2009 um 16:03 Uhr:

    @Noxed: Matthias hat ihn leider von mir, das hat nix mit seinem Browser zu tun :-(
    Ich drück Dir die Daumen, dass alles sauber bleibt.

  14. Onkel Schorsch schrieb am 29. Dezember 2009 um 01:04 Uhr:

    Ich habe ´mir dieses Teil auch eingefangen. Die meisten Antivirenscanner reagieren nicht darauf.
    Habe dann den Norton installiert. Der findet ihn sofort und schießt ihn ab.
    Trojan.Agent/Gen ist leider im Moment sehr weit verbreitet. Norton Antivirus meldet ihn inzwischen auf jeder 10. Webseite. Auch große Dienste wie Paiduniversum sind mittlerweile betroffen.
    Der Trojaner kommt im übrigen nicht nur über IE. Ich mache nichts mit dem IE, ich habe ihn mir entweder über Opera oder Firefox geholt.
    Meine Seiten waren auch alle verseucht. Habe dieses Problem aber mit der
    curevir.php und diversen Backups in den Griff bekommen. Das wichtigste überhaupt ist es die Ftp Passwörter zu ändern.
    Im Moment sind meine Seiten wieder clean. Will mal hoffen, dass das auch so bleibt.

    Gruß,
    Onkel Schorsch

  15. Crazy Girl antwortete am 29. Dezember 2009 um 07:02 Uhr:

    @Onkel Schorsch: Du hast Deinen Link leider fehlerhaft eingegeben (führte ins Nirvana), so dass ich ihn löschen musste.
    Vielen Dank für die aufschlußreichen Infos. Ich habe fast befürchtet, dass sich dieser Virus wie ein Lauffeuer verbreitet. Auf vielen Domains installiert er sich so, dass man gar nichts davon merkt. Bei uns in Wordpress gibt es meistens irgendwann einen Parse Error und nix geht mehr. Habe aber auch Wordpress Installationen gehabt, auf denen er war und vorne war alles normal.
    Neben den Passwörter ändern finde ich noch sehr wichtig sie nicht mehr zu speichern im FTP Programm. So kann man ihn sich wieder holen und er kommt wenigstens nicht mehr an die Domains ran ;-)

    Dass man ihn sich wieder holt ist momentan noch ziemlich wahrscheinlich, da er sich immer weiter verbreitet im Netz und viele Antivirenprogramm bei ihm nicht anschlagen. Übrigens… auch Microsoft Defender in Vista schlägt mittlerweile an. Es erkennt aber erst die Auswirkungen wenn das Ding schon auf der Platte ist. Dort nennt er sich PWS:Win32/Daurso.A und wird als Kennwort-Stehler oder so bezeichnet.

    Ich drück Dir die Daumen, dass Deine Seite clean bleiben. Bis dato sind es meine geblieben, ich speichere aber auch keine FTP Passwörter mehr :-)

  16. Daniel schrieb am 30. Dezember 2009 um 14:28 Uhr:

    Ich habe ihn mir nach dem Besuch auf einer Webseite eingefangen, Kaspersky hat zwar gemeldet das dort schädliche Software ist, aber erst durch einen vollständigen Virenscann konnte ich den Trojaner/Virus wieder loswerden.

    Da ich glücklicherweise keine FTP Passwörter speichere, bin ich noch einmal davon gekommen.

    Und danke für die Tipps, habe dich gleich mal in einem Artikel erwähnt :)

  17. Staudi schrieb am 30. Dezember 2009 um 14:35 Uhr:

    Sehr schöner Artikel.
    Kleine Ergänzung: Der Trojaner verändert nach meinen Beobachtungen nicht alle Dateien auf dem Server, sondern nur Dateien
    - die das Wort “index” im Dateinamen enthalten
    - die das Wort “default” im Dateinamen enthalten
    - mit der Endung .js

  18. Crazy Girl antwortete am 30. Dezember 2009 um 16:31 Uhr:

    @Daniel: Oh Du auch :-( Wie gut, dass Du keine FTP Passwörter gespeichert hast, sonst hättest Du auch Deine Webseiten infiziert ;-)

    @Staudi: Steht auch in meinem Artikel drin, welche Dateien infiziert werden auf den Domains:

    Dieser Virus schreibt in einige PHP Dateien, die mit index oder default beginnen sowie in sämtliche Javascript Dateien…

    Aber doppelt gemoppelt hält ja bekanntlich besser ;-)

  19. MechMac schrieb am 30. Dezember 2009 um 21:50 Uhr:

    Habe mir das Virus auch eingefangen. Es hat definitiv nichts mit dem verwendeten Browser zu tun.

    Zu empfehlen ist das Programm (http://www.freefixer.com/)
    Es kann das Virus erkennen und entfernen. (Auf dem lokalen Rechner)

    Wie oben bereits gepostet handelt es sich um ein JavaScript. Es ist im unteren Teil diverser Web-Dokumente eingefügt und startet ein “Applet.x”. Dieses ermöglicht dann den zugriff auf den Rechner.

    Man kann es recht einfach von seinem Webspace entfernen, dazu einfach ein kleines Programm schreiben welches am besten ALLE dateien nach dem script durchsucht und die zeile löscht. Dann muss man nichts neu installieren.

    P.s.: Bei mir waren nur Dateien mit dem String “index” befallen.

    Mfg

  20. Crazy Girl antwortete am 31. Dezember 2009 um 11:53 Uhr:

    @MechMac: Danke für das Programm, vielleicht kann es hier ja der ein oder andere noch gebrauchen.
    Bei uns in Wordpress sind es leider nicht nur Dateien mit dem String ‘index’, sondern auch alle mit dem String ‘default’ sowie wirklich alle Javascript Dateien. Bis man die alle gesucht und ausgetauscht hat ist eine Neuinstallation bzw. das Einspielen eines sauberen Backups wesentlich schneller.

  21. Noxed schrieb am 2. Januar 2010 um 12:38 Uhr:

    -> Der Trojaner kommt im übrigen nicht nur über IE. Ich mache nichts mit dem IE, ich habe ihn mir entweder über Opera oder Firefox geholt.

    Also wie schon erwähnt handelt es sich ja um ein JavaScript, vieleicht hilft doch abhilfe wenn man NoScript mit FF nutzt, das JavaScripte oder andere bösartige Programme erst garnicht anzeigt, bzw. ausführt (aber genauer kann ich das auch nicht beurteilen).

  22. Crazy Girl antwortete am 3. Januar 2010 um 16:12 Uhr:

    @Noxed: Nun ja, ohne Javascript Aktivierung wird wohl kein Javascript ausgeführt werden können. Aber was ist das für ein Surfen im Netz? Da kann ich ja auch gleich offline bleiben :-)

  23. Noxed schrieb am 3. Januar 2010 um 20:19 Uhr:

    Naja, man sollte es an gewissen stellen schon richtig Einstellen bzw. die Webseite zulassen wo JavaScripte laufen dürfen. Neue bzw. Unbekannte Seiten werden keine Script geladen bevor man dies nicht zulässt, so war das gemeint.

  24. Crazy Girl antwortete am 4. Januar 2010 um 09:06 Uhr:

    @Noxed: Wäre mir etwas zu aufwendig. Ich bin schließlich den gesamten Arbeitstag im Netz unterwegs und käme aus dem ein-umstellen gar nicht mehr raus ;-)

  25. mike schrieb am 7. Januar 2010 um 12:34 Uhr:

    hallo und vielen dank fuer die vielen guten tipps :)

    eine frage an @noxed und/oder an alle hier:
    ist das vorgeschlagene programm unter (http://www.freefixer.com/) ausreichend zum aufspueren und entfernen des virus?

    allgemeines :)
    ich speichere auch – so weit es geht – keine passwoerter im ftp-client.

    aber welches ftp-programm speichert NICHT – zumindest die aktuellen, gerade verwendeten verbindungsdaten (im verlauf oder diesen “quickConnects”)?

    wenn dann waehrend man mit dem ftp-client unterwegs ist, kann dann doch der virus, diese aktuell verwendeten zugangsdaten auch abgreifen – oder nicht?

    hatte mal smartFTP im einsatz – da werden ja wie gesagt alle angesteuerten server automatisch in die QuickConnects gelegt.

    und jedes mal beim verlassen des programmes aufraeumen – na ich weiss nicht. is ne menge zeit! gerade bei vielen kundenZugaengen die man betreut.

    vielen dank noch einmal fuer Deine muehe “Crazy Girl”
    gruss, mike

  26. Crazy Girl antwortete am 8. Januar 2010 um 05:32 Uhr:

    @mike: Über das Freefixer Programm kann ich persönlich nichts sagen. Bei mir war es die “SUPER AntiSpyware Free Edition”, die den Virus auf dem Rechner gefunden hat.
    Mit den FTP Connections könntest Du Recht haben. Bis dato habe ich den Virus aber nirgends mehr auf meinen Domains gefunden. Ist recht einfach zu prüfen, man muss sich nur mal das Änderungsdatum der index.php z.B. ankucken.

  27. Markus schrieb am 16. Januar 2010 um 13:41 Uhr:

    Hallo,

    jetzt ist die Herkunft wohl bewiesen. Der miese Trojaner kommt und überträgt sich duch eine Sicherheitslücke von Windows IE. Mehr hier: (http://www.netprom.org/2010/01/internet-explorer-neue-sicherheitslucke-entdeckt/)

    Grüße Markus

  28. Crazy Girl antwortete am 16. Januar 2010 um 15:01 Uhr:

    Sorry Markus, das ist eine ziemliche Fehlinformation. Es haben sich so einige diesen Trojaner mit dem FF gefangen. Mit dem IE hat es in diesem Fall so ganz und gar nichts zu tun ;-)

  29. Markus schrieb am 16. Januar 2010 um 17:17 Uhr:

    Also über geschädigte die den FF benutzt haben war mir bislang nichts bekannt. Auf jedenfall ist die Warnung durch das Bundesministerium raus. Was mich als überzeugten IE Nutzer zu einem Wecksel gezwungen hat.

  30. Crazy Girl antwortete am 16. Januar 2010 um 17:45 Uhr:

    Hier hatten einige berichtet, dass sie ihn sich mit dem FF gefangen haben. Daniel hat in seinem Kommentar bei sich heute auch geschrieben, dass er sich diesen Trojaner mit dem FF gezogen hat und mein lieber Mann hat ihn hier direkt neben mir auf seinem PC sich auch geholt, als wir Andi mit seinem Trojaner helfen wollten. Er hat auf seinem PC nur den FF, nix anderes ;-)

  31. Kim schrieb am 16. Januar 2010 um 17:47 Uhr:

    @Markus:

    Onkel Schorsch ist hier in den Kommentaren auch der einzige, der berichtet, dass er sich das Teil NICHT über den IE, sondern mutmaßlich über Firefox oder Opera zugezogen hat…

    Ich persönlich denke auch, dass es ein reinrassiger IE-Exploit war, der hier ausgenutzt wurde.

  32. Crazy Girl antwortete am 16. Januar 2010 um 17:51 Uhr:

    @Kim: Warum hat ihn sich dann Daniel und mein Mann, direkt neben mir, so dass ich ihm dabei zusehen konnte, mit dem FF gefangen?

  33. Kim schrieb am 16. Januar 2010 um 18:01 Uhr:

    @Crazy Girl:

    Zeig mir ein nicht-Windows7-Windows-System auf dem KEIN Internet-Explorer installiert ist *grins*.

    Ok, ich revidiere meine Aussage…

    Aber ist doch schon auffallen, dass die statistische Verteilung verglichen mit den Nutzerstatistiken der Browser über eine repräsentative Anzahl an Webseiten, die ja deutlich sagt, dass es mittlerweile für den IE und seine Marktberherrschung eng wird und der Firefox massiv aufholt – sprich nicht weit hinter dem IE liegt mit anderen Worten – ist es da nicht auffallend, dass man im Grunde in der Breite bezogen auf diesen Trojaner dann doch überwiegend Meldungen findet, die den IE als benutzten Browser führen?

    Was können wir daraus schließen?

    Sicherlich nur, dass die Nutzer des Firefox arrogante Schnösel sind, die zu feige sind, zuzugeben, dass sie sich auch mal etwas einfangen? Oder vielleicht doch die Variante, dass schlicht aufgrund des Verhaltens des Herstellers und dessen Unbeliebtheit bei den “Badguys”, der IE einfach etwas mehr im Schussfeld steht?

    Ich weiß es nicht. mir persönlich wäre Variante 2 lieber *g* aber ich kann auch mit Variante 1 leben…

    Wobei ich sagen muss – man muss schon einiges mehr anstellen, um den Firefox richtig aufs Kreuz zu legen als vergleichsweise beim IE – besonders bei alten IE-Varianten, die ungepatcht sind, weil die Benutzer sich nicht trauen, ein Windows-Update zu machen *grins*.

    Aber wir wollen nicht streiten :-)

  34. Crazy Girl antwortete am 16. Januar 2010 um 18:13 Uhr:

    @Kim: Nö, streiten will ich sicherlich nicht :-)
    Bei Stephan am PC haben wir es auch nur richtig gemerkt, weil Vista UAC angesprungen ist.

    In unseren Kreisen ist der FF sehr beliebt und der IE sehr verpönt. Ich denke, dass deswegen viele daherkommen und einfach gerne über den IE schimpfen und FF in gleichzeitig in den Himmel loben. Somit tendiere ich auch zu Deiner 2ten Variante.
    Ich persönlich sehe das ziemlich emotionslos. Sind einfach zwei unterschiedliche Browsersysteme, genauso wie es mehrere unterschiedliche Autotypen/Automarken gibt. Eine eine schwört auf das eine, der andere auf das andere, und ich persönlich emotionslos auf gar nix ;-)

  35. MechMac schrieb am 16. Januar 2010 um 18:20 Uhr:

    Ich habe das Teil auch über Firefox erhalten.

    Wieso soll es denn eine Sicherheitslücke sein? Der Trojaner wird über ein ganz normales Applet installiert, welches über ein Script aufgerufen wird. Das einzigste was auf eine Sicherheitslücke hindeutet, ist die Tatsache das die Browser nicht vor der Ausführung warnen.
    Und was dagegen spricht ist, das es wohl recht ungewöhnlich wäre das die Browser dann alle die selbe Sicherheitslücke aufweisen. Ich denke nicht das es eine Sicherheitslücke ist.

    Komisch das ausgerechnet jetzt wo ein Bug im IE entdeckt wurde, der IE plötzlich auch für die Verbreitung des Virus verantwortlich sein soll. Hört sich für mich stark nach IE-Bashing an. (Ich bin übrigens FF Nutzer)

  36. Crazy Girl antwortete am 16. Januar 2010 um 19:45 Uhr:

    @MechMac: Danke, ich kann Dir nur voll und ganz zustimmen :-)

  37. Kim schrieb am 16. Januar 2010 um 22:44 Uhr:

    Ah, ok, dann ist der Schuldige doch identifiziert: Es ist die Java-Engine, die durch den Java-Plugin geladen wird. Hier wird eine existente (ggf. in aktuellen Versionen behobene?) Lücke ausgenutzt, aus der Sandbox auszubrechen, die eigentlich für Java-Applets in Browsern “konstruiert” wird. Denn eigentlich(!) sollte ein Java-Applet nur nach eindeutiger Erlaubnis durch den Benutzer auf Systemressourcen zugreifen können.

    Und genau dies müsste ich, um an die Daten ranzukommen, die auf der Festplatte liegen, um eben auf dem Weg an die FTP-Zugangsdaten zu kommen…

    Das ist natürlich(!) eine Lücke, die in jedem Browser funktionieren könnte, der ein Plugin einer veralteten Java-Engine verwendet.

    Aus diesem Grunde kann ich mich nur wiederholen (und ich weiß, einige wollen es nicht gerne hören): Updates (egal in welchem Bereich) sollte man nicht vernachlässigen sondern sie installieren. Ob für’s Betriebssystem, für den Browser oder für sonst was… nur so erreicht man halbwegs einen sicheren Stand.

  38. Crazy Girl antwortete am 17. Januar 2010 um 06:54 Uhr:

    @Kim: Wenn ich richtig schlußfolgere, dann ist das Java in Zusammenhang mit dem Betriebssystem. Die Sicherheitslücke scheint aktuell zu sein, doch UAC warnt. Da es das erst seit Vista gibt (und auch harmlos eingestellt werden kann), dürften in erster Linie nicht-Vista und nicht Windows-7 Rechner betroffen sein, die beim Zugriff auf Systemressourcen nicht warnen.
    Ich liege ja auch “unterhalb” dieser Konfiguration und bei mir selbst hat nur die Firewall angeschlagen. Da war es aber schon zu spät :-(

  39. MechMac schrieb am 17. Januar 2010 um 13:48 Uhr:

    @KIM

    ZITAT:
    “…die eigentlich für Java-Applets in Browsern “konstruiert” wird. Denn eigentlich(!) sollte ein Java-Applet nur nach eindeutiger Erlaubnis durch den Benutzer auf Systemressourcen zugreifen können”

    Das Java-Applet muss lediglich einen ausführbaren Code speichern (egal in welcher Form) und diesen starten können, bzw. starten lassen (Exploit?). Was danach kommt (das auslesen der Kennwörter etc.) wird alles von der siszyd32.exe ausgeführt. Der Code aus dem die siszyd32.exe generiert wird, wird vermutlich über die *.tmp datei eingeschleust.

    Irgendwo ist da entweder eine Lücke für einen Exploit, oder eine fehlende Abfrage. Ich denke auch das die Java-engine die installation möglich macht.

  40. Crazy Girl antwortete am 17. Januar 2010 um 19:40 Uhr:

    @MechMac: Ich hoffe Du bist mir net bös, dass ich mich an dieser Stelle ausklinke, aber das wird mir dann alles doch etwas zu “technisch”. Da kann ich ehrlich gesagt nicht mehr mitreden und bevor ich Unsinn verzapfe lasse ich es lieber ;-)

  41. Bob schrieb am 19. Januar 2010 um 00:17 Uhr:

    Weiß einer, was genau dieses Vieh eigentlich auf dem Rechner macht, außer FTP-Daten zu mopsen?
    In der Zeit, wo mein Virenschutz die Meldung machte, lief bei mir MSN. Wurden da eventuell Daten gestohlen? Oder sucht sich das Programm nur FTP-Programme aus?
    Ich speichere zwar nie die Passwörter, aber bei einer aktiven Verbindung werden trotzdem Daten gesendet

    Ich konnte zwar die siszyd32.exe daran hindern, sich in das System einzunisten, außerdem haben die tmp-dateien versucht, sich mit dem Internet zu verbinden, aber das konnte ich mit meiner Firewall verhindern. Die TMPs wollten sich mit russischen IPs verbinden.
    Irgendwelche ungewöhnlichen Internetaktivitäten gab es so nicht, da ich schließlich mit der Firewall alles blockiert habe… und jetzt ist mein System neuinstalliert. Muss ich allerdings bei der Neuinstallation etwas wichtiges beachten (Updates sind drauf)?
    Die Platte wurde formatiert, aber reicht das aus?
    Es gibt ja viren die sich in das MBR einnisten
    Hätte ich vielleicht noch das MBR überprüfen sollen oder muss man dies nicht?

    Das Vieh bekam ich mit dem Firefox, als auf einer Seite, die ich seit Jahren besuche, ein Fenster öffnete, welches JAVA startete… dann meldete mein Virenschutz, es sei was faul, allerdings leider zu spät, denn ein Teil der Dateien war bereits auf dem Rechner…

  42. Crazy Girl antwortete am 19. Januar 2010 um 17:07 Uhr:

    Tut mir leid Bob, so genau habe ich mich auch nicht damit beschäftigt. Bei mir ist alles ruhig, seitdem meine Programm die siszyd32.exe sowie die zugehörigen Temp-Dateien unschädlich gemacht haben :-)

  43. MechMac schrieb am 19. Januar 2010 um 19:26 Uhr:

    @Bob

    Unbestätigten Quellen nach, könnte das Teil ein Dropper sein. Bei der Infektion meines Rechners am 18.12.2009 wurde mein Rechner als Spamschleuder missbraucht, jedoch kann ich nicht 100% bestätigen das der Trojan.Agent/Gen daran Schuld ist. Jedenfalls war der Spam-”Gast” unmittelbar nachdem siszyd32.exe bei mir “eingetroffen” ist, aktiv geworden.

    Wenn es ein Dropper ist, dann wird er wahrscheinlich weitere “Gäste” eingeladen haben.
    Sicherheitshalber sollte man den Rechner lieber formatieren, …denn wenn Trojan.Agent/Gen ein Rootkit installiert hat kannst du ohne formatieren nie wieder sicher sein ob da nicht doch etwas zurückgeblieben ist, was fleißig im Hintergrund werkelt.

  44. Crazy Girl antwortete am 19. Januar 2010 um 20:01 Uhr:

    Danke für die Info MechMac :-)

  45. Bob schrieb am 20. Januar 2010 um 10:38 Uhr:

    @MechMac

    Formatiert habe ich ja schon.
    Aber ich habe auf einigen Seiten gelesen, dass sich Viren auch in das MBR einnisten können.
    Macht es etwa die Siszyd32.exe das auch?
    Oder wird das MBR beim Formatieren neugeschrieben?

    Bin kein Computer-Experte und mit Viren habe ich bislang nie Erfahrungen gemacht, denn mein Virenschutz hat bislang alles erfolgreich geblockt… bis auf die Siszyd32.exe, die hat es irgendwie geschafft…

  46. Kim schrieb am 20. Januar 2010 um 11:11 Uhr:

    Den MBR musst du separat angehen. Unter Windows XP läuft dies nach folgendem Prinzip in der Kommandozeile:

    fixmbr Gerätename

    Verwenden Sie diesen Befehl, um den MBR (Master Boot Record) der Startpartition zu reparieren. In der Befehlssyntax steht Gerätename für einen optionalen Gerätenamen, der das Gerät angibt, das einen neuen MBR erfordert. Verwenden Sie diesen Befehl, falls ein Virus den MBR beschädigt hat und Windows nicht gestartet werden kann.

  47. Crazy Girl antwortete am 20. Januar 2010 um 20:32 Uhr:

    @Kim: Oh Danke für den Tipp. Das muss ich die Tage meinem Herzallerliebsten zeigen. Er ist der Mann für diese Dinge, da trau ich mich nicht ran ;-)

Einen Kommentar dazu schreiben:

Bitte beachtet die Datenschutzhinweise sowie zu Spammer Kommentaren.
Ich behalte mir das Recht vor, Kommentare entsprechend zu löschen oder editieren!

Kommentare abonnieren ohne selbst einen Kommentar abzugeben: