FAQs und Schritte gegen den Virus Trojaner Trojan.Agent/Gen

Dieser Virus Trojan.Agent/Gen wird sich mit hoher Wahrscheinlichkeit im Netz verbreiten wie ein Lauffeuer. Wer ihn heute noch nicht hat, kann ich morgen bereits haben. Ich möchte hier niemanden Angst einjagen, sondern schlicht und ergreifend zu erhöhter Vorsicht mahnen. Nachfolgend fass ich im FAQ-Stil einfach mal zusammen, was mir bis dato über diesen Virus sowie seine Entfernung bekannt ist. Ich hoffe hiermit dem ein oder anderen von Euch helfen zu können.

Wie fange ich mir diesen Virus ein?
Mit hoher Wahrscheinlichkeit verbreitet sich dieser Virus indem man eine infizierte Seite im Netz ansurft.

Gibt es ein Virenprogramm oder sonstige Software die diesen Virus erkennt?
Bis dato ist mir noch nichts bekannt. Das bedeutet, dass sich dieser Virus zum jetzigen Stand mit hoher Wahrscheinlichkeit völlig unbemerkt auf dem entsprechenden Rechner installiert. Meine Firewall schlug z.B. an, dennoch gingen die Auswirkungen dieses Virus um die Firewall irgendwie herum. Das Programm „SUPER AntiSpyware Free Edition“ hat ihn aber zumindest in meinem Autostart entdecken und herausnehmen können.

Welche Anzeichen finde ich auf meinem Rechner manuell für diesen Virus?
Eine Datei siszyd32.exe im Autostart sowie mit hoher Wahrscheinlichkeit eine oder mehrere Tempdateien im Windows Temp Ordner (z.B. ~tm60.tmp). Zudem setzt sich der Virus in die temporären Internetdateien der entsprechend infizierten angesurften Internetseiten.

Was kann ich tun, um diesen Virus auf meinem Rechner vorzubeugen?
Das wichtigste ist allen voran, dass in FTP Programmen keinerlei Passwörter mehr gespeichert werden. Das verhindert zwar nicht den Virus selbst, aber zumindest dessen Auswirkungen auf die entsprechenden Domains. Also am besten sämtliche FTP Passwörter ändern und nirgends speichern, vor allem nicht in einem FTP Client!
Weiter halte ich es für wichtig öfters am Tag seine temporären Internetdateien zu löschen und auch hin und wieder nach dem Vorhandensein der oben genannten Dateien auf dem lokalen Rechner zu suchen.

Was macht dieser Virus genau?
Dieser Virus sucht auf dem lokalen Rechner nach FTP Programmen, holt sich die darin enthaltenen Zugangsdaten heraus und schickt sich wahrscheinlich nach China. Von dort aus wird sich auf den entsprechenden Domains via FTP eingewählt und einige Dateien werden gehackt.

Wie erkenne ich, ob mein Blog bereits gehackt wurde?
Dieser Virus schreibt in einige PHP Dateien, die mit index oder default beginnen sowie in sämtliche Javascript Dateien. In Wordpress Blogs brauchst Du z.B. einfach nur die index.php auf Deinem Server öffnen, ganz nach unten scrollen und nach einem script suchen, das mit #<script>/*GNU GPL*/ try{window.onload = function(){var Foykd9quq4zlf = beginnt. In infizierten Wordpress Blogs steht dieses auch häufig im Quellcode auf der Startseite. Im Ordner wp-includes wird dieses Script auch in die Dateien default-filters.php, default-widgets.php und default-embeds.php geschrieben.

Dieser Virus schreibt sich nach und nach in allen möglichen Dateien von Wordpress. Darin eingeschlossen sind auch sämtliche Plugins und Theme-Dateien. Einfach alles, was auf dem Webspace zu finden ist!

Was mache ich wenn mein Blog gehackt wurde?
Zu erst einmal die FTP Zugangsdaten ändern! Das FTP Passwort auf gar keinen Fall mehr im FTP Client speichern.
Danach hilft eigentlich nur noch sich via FTP einzuloggen, alles zu löschen und eine komplette Neuinstallation zu vollziehen (alle Plugins und Themes inbegriffen). Glück hat hier der, der auf einen sauberen Backup zugreifen kann. Einen solchen hat man entweder lokal auf dem Rechner gespeichert oder man kann auch beim Hoster anfragen. Der Backup beim Hoster muss aber unbedingt von vor dem ersten Hack Angriff sein (Datum und Uhrzeit der geänderten Wordpress Dateien vergleichen).

Bleib auf dem Laufenden und abonniere meinen RSS Feed Crazy Girls RSS Feed jetzt abonnieren
|
 Autor: Crazy Girl |
 Themenbereich: Tipps und Tricks
Tags: ,
Trackback URL: http://www.crazytoast.de/faqs-und-schritte-gegen-den-virus-trojan-agent-gen.html/trackback/
Ähnliche Beiträge:
↑ Ganz nach oben springen ↑
↓ zum kommentieren springen ↓
17 Reaktionen:
2 Trackbacks:
  1. » Trojan.Agent/Gen – Trojaner macht auch vor Blogger nicht halt - web-newspaper

    [...] Informationen dazu findet ihr bei tech-evangelist.com (Englisch) und Tanja gibt auch noch wertvolle Tipps, um das Schlimmste zu [...]

  2. Bin ich von einem Trojaner infiziert? | Mendener.Net

    [...] es evtl. derselbe Trojaner wie bei Tanja? Allerdings speicher ich nach der Passwort-Änderung keine Passwörter mehr im Filezilla [...]

15 Kommentare:
  1. Jeffrey schrieb am 25. Dezember 2009 um 20:10 Uhr:
    # 1

    Danke für deine Bemühungen!

    Bis jetzt hat es mich glücklicherweise nicht erwischt. Da ich Passwörter generell nicht speichere, sollte das auch so bleiben :)

  2. Crazy Girl antwortete am 25. Dezember 2009 um 20:22 Uhr:
    # 2

    @Jeffrey: Gute Entscheidung in diesem Fall, Passwörter generell nicht zu speichern ;-)

  3. Jeffrey schrieb am 25. Dezember 2009 um 20:37 Uhr:
    # 3

    Ich benutze einfach KeePass als Passwort Safe, dann ist das kein Thema :)

  4. Kim schrieb am 25. Dezember 2009 um 20:44 Uhr:
    # 4

    Die Frage, die sich mir jetzt stellt: Wie verbreitet sich das Teil auf den Client? Das muss ja irgendeine Lücke im Browser ausnutzen. Die Frage hier: Welche Browser sind betroffen? Kann ja hauptsächlich wohl nur ne Internet-Explorer-Schwachstelle sein, oder?

  5. Crazy Girl antwortete am 25. Dezember 2009 um 20:50 Uhr:
    # 5

    @Jeffrey: Davon habe ich auch schon gehört ;-) Wenn es hilft, ist es gut.

    @Kim: Sorry, das geht ein bissi zu tief rein, von der Materie verstehe ich nix. Von dem einen von dem ich weiß, dass er ihn sich die Tage geholt hat, bezweifle ich sehr stark, dass er den IE nutzt. Der andere von dem ich noch weiß nutzt m.E. IE8. Ich war heute mit dem IE unterwegs. Kann eine IE Schwachstelle sein, aber so ganz glaube ich das nicht.

  6. Kim schrieb am 25. Dezember 2009 um 20:54 Uhr:
    # 6

    Hm… warten wir einfach mal ab. Wenn ich im Internet nach der Virenbezeichnung google, die du oben angegeben hast, kommen einige Beiträge, die aber auch teilweise schon von September diesen Jahres sind… also so ganz unbekannt scheint er nicht zu sein.

    Denke mal, wichtig ist jetzt auch wieder einmal, darauf hinzuweisen, wie wichtig Betriebssystem-Updates sind. Speziell die Windows-Updates sollte man nicht vernachlässigen. Denn, sollte es eine ältere Lücke im Internet-Explorer z.B. sein, lassen sich diese auf diesem Weg ganz einfach beheben.

  7. Jeffrey schrieb am 25. Dezember 2009 um 20:57 Uhr:
    # 7

    @ Crazy Girl

    So habe ich überall unterschiedliche Passwörter und muss die nicht alle auswendig kennen :)

    @Kim

    Da stimmte ich dir zu.
    Laut meinen Recherchen gibt es den schon länger, nur er besitzt bereits eine Menge weitere Namen.

  8. Crazy Girl antwortete am 25. Dezember 2009 um 20:57 Uhr:
    # 8

    @Kim: Such mal nach der Scriptzeile, die ich oben im Artikel gepostet habe. Das geht zurück bis 18.12. wenn ich mich richtig entsinne. Ich habe vorhin zu Markus im anderen Artikel schon gesagt, dass es vielleicht ein Alter im neuen Gewand ist.

  9. Noxed schrieb am 26. Dezember 2009 um 01:01 Uhr:
    # 9

    Also ich nutze NoScript mit FF und seiten die ich nicht freigegeben habe, öffnet er kein einziges Script, evtl. kann es auch am IE gelegen habe.

    Firewall bzw. Securityprogramm benutze ich Kostenpflichtig Pandasecurity 2010.

  10. Mac_BetH schrieb am 26. Dezember 2009 um 02:04 Uhr:
    # 10

    Hallo Tanja,

    vielen Dank für die oben zusammengefassten FAQs. Leider haben Sie nicht verhindert, dass ich den Plugins Ordner in dem sich relativ viele Javascripts befinden, umzubenennen, und morgen werde ich die Seite neu aufbauen, aus einem alten Update heraus, bzw. einer Sicherheitskopie!

    Denn leider ist auch meine Hompage betroffen! :-(

    Gruß

    Matthias

  11. Crazy Girl antwortete am 26. Dezember 2009 um 07:34 Uhr:
    # 11

    @Noxed: Manches nützt, manches nützt in diesem Fall nicht. Ehrlich gesagt ist noch keine so schlau draus geworden wer sich wann warum diesen Virus gezogen hat.

    @Matthias: Es tut mir sehr leid. Ich habe gestern 7 Domains komplett neu installiert und heute werden noch ein paar folgen. Was für ein Sch… :-(

  12. Noxed schrieb am 26. Dezember 2009 um 15:56 Uhr:
    # 12

    Das ist komisch, was benutzt du denn für nen Browser Mac_BetH.

    Ich habe mal Backups erstellt, aber mein Hoster macht jeden Tag Backup von meinem Webserver, mein NoScript habe ich auch Schärfer eingestellt für FF auch zugelassene Seiten werden absofort keine Scripte ungewollt geöffnet.

    Ich habe mal in den bekannten Dateien geschaut, bis jetzt ist alles sauber, hoffe das bleibt auch so.

  13. Crazy Girl antwortete am 26. Dezember 2009 um 16:03 Uhr:
    # 13

    @Noxed: Matthias hat ihn leider von mir, das hat nix mit seinem Browser zu tun :-(
    Ich drück Dir die Daumen, dass alles sauber bleibt.

  14. Daniel schrieb am 30. Dezember 2009 um 14:28 Uhr:
    # 15

    Ich habe ihn mir nach dem Besuch auf einer Webseite eingefangen, Kaspersky hat zwar gemeldet das dort schädliche Software ist, aber erst durch einen vollständigen Virenscann konnte ich den Trojaner/Virus wieder loswerden.

    Da ich glücklicherweise keine FTP Passwörter speichere, bin ich noch einmal davon gekommen.

    Und danke für die Tipps, habe dich gleich mal in einem Artikel erwähnt :)

  15. Crazy Girl antwortete am 30. Dezember 2009 um 16:31 Uhr:
    # 16

    @Daniel: Oh Du auch :-( Wie gut, dass Du keine FTP Passwörter gespeichert hast, sonst hättest Du auch Deine Webseiten infiziert ;-)

Einen Kommentar dazu schreiben:

Bitte beachtet die Datenschutzhinweise sowie zu Spammer Kommentaren.

Ich behalte mir das Recht vor, Kommentare entsprechend zu löschen oder editieren!

Kommentare mit Links, die nicht zu Blogs führen und/oder Keywords
als Namen verwenden sind nicht erwünscht und werden gelöscht!

Links beinhalten das rel=nofollow Attribut (Stammkommentatoren ausgeschlossen)!

Kommentare abonnieren ohne selbst einen Kommentar abzugeben: