Ein Virus, Trojaner, Hack oder wie auch immer sich dieses Teil, das wahrscheinlich unter dem Namen Trojan.Agent/Gen unterwegs ist, nennen mag, ist gerade im Netz unterwegs und hat mir heute alle meine Domains platt gelegt. Eingefangen habe ich ihn mir heute Morgen über den einen Blog, den ich über meinen Feedreader ansurfte und kommentierte. Seitdem ist Schicht im Schacht auf allen meinen Domains – Happy Christmas Holidays!
Den Virus holt man sich mit hoher Wahrscheinlichkeit über eine infizierte Webseite. Das Teil kommt auf den eigenen Computer. Dort sucht es nach FTP Programmen, holt sich die Zugangsdaten und sendet diese vermutlich nach China. Von dort loggen die sich mit unterschiedlichen IPs auf den entsprechenden FTP Accounts ein und hacken diese. Verändert werden Dateien die mit index oder default beginnen sowie sämtliche Javascript Dateien und wahrscheinlich noch einiges anderes.
Wer Pech hat merkt von der ganzen Aktion gar nichts, wer Glück hat bemerkt es, indem dass Teile der Domain bzw. des Wordpress Blogs nicht mehr funktionieren (weiße Seite mit Parse Error). Der Witz daran ist, dass wahrscheinlich durch den Aufruf einer infizierten Datei sich der Hack auf dem Server weiter repliziert. In die entsprechenden Dateien wird jeweils am Ende eine längere Javascript Code geschrieben, der dann z.B. im Quelltext in der ersten Zeile steht. Wer genaueres über diesen Virus nachlesen möchte, kann dies hier tun.
Bei mir hier ist seit heute späten Vormittag alles platt und ich versuchte bis dato erst einmal meinen Computer sauber zu kriegen. Die Problematik ist leider, dass mir bis dato kein Antivirenprogramm bekannt ist, das diesen Virus beim ersten Zugriff auf die infizierte Webseite erkennt. Im Durchlaufen zweier Programme (NOD32 und AVAST) konnte ich heute leider nur feststellen, dass dieser Virus nicht zur Gänze gefunden wurde. Avast hat nur die temporären Internetdateien gefunden.
Das Programm SUPER AntiSpyware Free Edition ist auch gerade über meinen Rechner gelaufen und hat im Autostart eine Exe-Datei gefunden und eliminiert (siszyd32.exe). Weiter hatten wir manuell ~tm60.tmp aus dem Autostart entfernt. In Windows/Temp/ liegen zusätzlich noch ~tm60.tmp, ~tm61.tmp, ~tmccc.tmp und ~tmccd.tmp, alle mit dem Datum von heute. Bei den ersten beiden schlug meine Firewall an (ausgehend Verbindung zulassen), aus welchem Grund wir diese Dateien auch überhaupt erst aufdecken konnten. Ob sie zu diesem Virus gehören, kann ich aber leider nicht sagen.
Angefangen hat es eigentlich damit, dass als ich einen Blog ansurfte meine Firewall anschlug und sich extern verbinden wollte, was ich natürlich verweigerte. Kurz danach ging hier im LAN die Post ab, die WLAN-Verbindung auf zwei verschiedenen Rechnern brach zusammen, der Access Point ging in die Knie und es half nur ein vollständiger Neustart. Nach diesem wurde ich mit einem Parse Error hier auf meinem Blog begrüßt. Ich rief meinen Hoster an und dieser kam mit der erfreulichen Nachricht: Sie wurden gehackt…
Wie man das Ganze von seiner Domain entfernt, werde ich in einem neuen Artikel etwas später beschreiben. Ich bin mir noch nicht ganz sicher wie es am besten, einfachsten und sichersten funktioniert und was ich jetzt wirklich als nächstes tun soll. Mein Rechner dürfte wieder sauber sein, doch traue ich mich ehrlich gesagt noch auf keine andere Webseite im Netz, da ich nicht weiß ob ich mich nicht unbemerkt neu infiziere und damit das Spiel gleich wieder von vorne beginnt.
Habt Ihr Ideen, Anregungen bzw. eigene Erfahrungen mit diesem Virus gesammelt und könnt mir weiter helfen?
- FAQs und Schritte gegen den Virus Trojaner Trojan.Agent/Gen - Dieser Virus Trojan.Agent/Gen wird sich mit hoher Wahrscheinlichkeit im Netz verbreiten wie...
- Yigg Button im Wordpress Blog – Yigg it! Probleme in einigen Browsern - Über meinen Kennt Ihr Wikio schon? Beitrag kamen wir in den vielen...
- Blind Schreiben mit dem 10 Finger System oder dem Adler Suchsystem - Schreibmaschinenunterricht in meiner Schulzeit war rückwirkend gesehen eines der besten und für...
- Schnäppchen Blog SchnäppchenTiger.de – mein neuestes Blogprojekt - Zum 1. Januar 2010 ging mein neustes Blogprojekt an den Start, ein...
- Aufruf: Bitte helft Michaela - Heute wende ich mich mit einem Aufruf und einer Bitte an Euch....
-
[...] Crazytost ist wieder online und Tanja hat bereits weitere Informationen zu dem Vorfall [...]
-
[...] Ein neuer Virus, Trojaner wurde bekannt was für mich bedeutete noch ein wenig mehr Zeit über die Feiertage in meine Blogs zu stecken, um Datensicherungen und Updates einzuspielen. Denn anscheinend vergreift sich der Trojaner Virus oder Hack auch an Word Press Blogs und klaut sich FTP Passwörter. Mehr dazu auf Crazytoast. [...]
Seit dem 21.12.2008 habe ich in diesem Blog 528 Beiträge verfasst, und es wurden bereits 7893 Kommentare abgegeben.
- Bloggen (127)
- Crazy Girls Magic Life (112)
- Tipps und Tricks (65)
- Blog SEO Tips (53)
- Special Events (48)
- Ernährungstipps (46)
- Selbstständigkeit (30)
- Geschäftsideen für Blogs (24)
- Beautytipps (15)
- Plugins für Wordpress (6)
- Hinter den Kulissen (2)
- Schäfer Heinrich und Melanie ein Liebespaar – Bauer sucht …
- DL-InfoV – sind auch Blogger davon betroffen?
- String Tangas für Nerdy Girls von getDigital
- SEO Tipps und Plugins – die Irreführung im Web
- Blog Spammer Schutz – nofollow Vogelscheuche zeigt Erfolge
- Interne Verlinkung als Blog SEO ist super wichtig
- Mach mit beim FeedAbo Day
- Miss Latex – der heißeste Feger vom Eurovision Song Contest
- Wordpress Feed oder Feedburner – welcher ist besser?
- Schnäppchen Blog
Party Grill Rommelsbacher funTasia 13% reduziert - "Sehr gut" beim Elektrogrill Test vom Testmagazin 06/2010: Ebenfalls beim großen Elektrogrill Test vertreten war der Party Grill funTasia von Rommelsbacher. D... - Shopper Blog
Mini Massagegerät Beurer MG 16 auch ideal für unterwegs: Nach einem langen und anstrengenden Arbeitstag gibt es wohl nichts Schöneres als eine entspannende...
- BonnyWorld
Miki malt Bonnyworld: Ein kurzer Twittertweet hat heute Morgen meine Laune in die Höhe schießen lassen. Miki meinte näm... - Gregel Dot Com
Tanzeinlage der schwedischen Polizei: Da soll nochmal jemand behaupten, die (schwedische) Polizei hat kein Humor. Oder kein Talent ;-) Die... - Chaosweib's Chaos-Blog
Blogparade – ich zeig euch meine Plugins: Der Peter ruft zur Blogparade und da ich brav jedem seiner Rufe folge, tue ich das auch jetzt. Ich m...
vollständige »Blogroll« oder »Wikiofreunde« anzeigen
Mein das ist ja ein dicker Hund! Zum Glück hast Du das wieder schnell in den Griff bekommen.
Ich hoffe das mir das nicht passiert. Auf meinem Rechner läuft Zone Alarm und ich hoffe doch, dass das Programm den Trojaner blockiert. Auf jeden Fall lasse ich gleich noch einmal mein Virenprogramm durchlaufen.
Das hört sich ja richtig schlimm an. Ich frage mich ob der Virus über JS verteilt wird. (ich verwende NoScript) Außerdem nutze ich FileZilla als portable Version. Somit weiß mein System nicht wo es liegt.
Ich würde ein Linux-Distribution vorschlagen. Sowas ist immer der effektivste Weg. Viel Erfolg und schreib über deine Erfahrungen.
@Andreas: Ja, das ist wirklich ein dicker Hund und wir können davon ausgehen, dass sich das Teil durch die deutsche Blogosphäre verteilt wie ein Lauffeuer. Wer ihn gerade eben noch nicht hat, kann ihn ein paar Minuten später schon haben.
Meine Firewall hat übrigens null geholfen. Die ist zwar angeschlagen, meine Passwörter sind aber trotzdem ab nach China gewandert
@Paul: Das Problem ist, dass es im Netz nicht gar so viele Infos gibt über diesen Virus. Was hundertprozent Genaues weiß man nicht.
@Crazy: Oha, du Arme. Das sind echt tolle Nachrichten und besonders schön an Weihnachten. Hoffe, dass du das bei deiner Domain bald wieder in Griff bekommst.
Bei mir war noch nichts. Hab aber auch seit ein paar Tagen keine FTP Verbindungen mehr offen gehabt. Da ich die meisten Plugins direkt über Wordpress installiere.
Musste in Zukunft wohl mal deinen Feedreader genauer überprüfen.
@Paul: Gut, vielleicht wäre es mit Linux nicht passiert. Aber auch nur, wenn man davon ausgeht, dass es ein Windowsvirus ist. Gegen die Webattacken (XSS oder wie das heißt) biste trotzdem nicht ganz gefeit.
@Tobias: Ich drücke Dir die Daumen, dass Du verschont bleibst. Aber mit geöffnetem FTP hat es leider nichts zu tun. Sobald Du Zugangsdaten in einem FTP Zugang auf Deinem lokalen Rechner gespeichert hast, bist Du fällig sobald Du auf eine infizierte Seite surfst
Mich kann er wohl nicht treffen, da das Teil wohl nur auf Linux gehosteten Servern sein Unwesen treibt. Deweiteren hab ich kein FTP Zugang aktiv. Allerdings ist der ja so neu auch nicht. Das man sich damit noch ansteckt ist schon komisch.
@Markus: Dann sei froh, dass er Dich nicht trifft. Wenn er gar nicht so neu ist, dann wundert es mich aber, dass es noch kaum ein Scanner entdeckt.
Ja Tanja das mit den Scanner wundert mich ja ehrlich gesagt auch. Ich find zumindest bis zum Juni zurück Hinweise auf diesen Trojaner. Bisher weiß bzw. denk ich das Avira ihn erkennt. Weiß da jemand was genaueres? Mehr weiß ich momentan auch noch nicht. Bin auch noch am rumsuchen.
@Markus: Vielleicht ist es ja ein alter in neuem Gewand.
Ich werde heute schon fast blöd vor lauter Neueinstallationen. Hatte leider nicht gerade wenig Domains in meinem FTP Client *heul*
Hallo, momentan besteht eine heftige Adobe Sicherheitslücke über die per Webseitenaufruf Rechner infiziert werden können. Trifft dies eventuell bei dir zu? Weitere Informationen und Schutzmöglichkeit in meinem IT Magazin:
(http://www.elexpress.de/archives/2009/12/17/adobe-patcht-kritische-lucke-erst-im-januar-2010/)
Die Trojanerbezeichnung Trojan.Agent/Gen ist keine genaue Bezeichnung und sagt nur Trojaner Agent Generic aus. Also ein heuristischer Fund auf eine Malware mit typischen Trojaner Verhalten.
@Dominik: Damit eine Adobe Sicherheitslücke greifen kann, müsste man doch erst mal Adobe Programme nutzen, oder? Aktuell habe ich das schon länger nicht mehr getan.
Okay, dann nennen wir diesen Trojaner einfach mal Weihnachtsfeiertage Virus
Bei der Adobe Lücke müssen in der Tat PDF Dokumente aufgerufen werden. Um sich da abzusichern reicht es die Javascript-Funktion im PDF Reader zu deaktivieren.
@Markus: Gut zu wissen, Danke! PDFs habe ich die Tage keine geöffnet, von denen habe ich es also mit Sicherheit nicht.
@Crazy Girl
Wenn du keinen Adobe Reader oder sicherer gar keine Adobe Produkte installiert hast, kann es davon nicht kommen. Aber wenn du den Reader installiert hast, musst du gar nicht mal selbst eine PDF öffnen. Denn es reicht schon, wenn du eine “infizierte” Seite besuchst, auf der in einem 1×1px Iframe eine PDF im Browser geladen wird.
@Dominik Auch aus diesem Grund lass ich schon seit ewigen Zeiten keine PDF´s mehr automatisch öffnen.
@Dominik: Soweit ich gelesen habe, gibt es diese Lücke nur im Adobe Reader 9.2 und Acroboat 9.2. Ich habe Acrobat 7.0 und Reader 8. Nicht immer ist es gut die aktuelleste Software zu haben. Aber sicher ist so gut wie nie was, außer keinen Computer zu haben
Als das gestern hier losging (als erstes schlug ja meine Firewall an), war ich auf einem Blog. Den Betreiber dieses Blogs hatte ich auch angeschrieben und meine Vermutung geäußert. Denn wenn ich es von ihm evtl. habe, dann musste er es auch haben. Und ja, er hatte den Virus auch und konnte ihn in der Zwischenzeit auch erfolgreich eliminieren.
Ich persönlich hab das Teil an ziemlich viele Domains weitergegen, nämlich an alle, die in meinem FTP Client waren.
Hallo,
erstmal wünsche ich noch ruhige Feiertage.
Dieses Teil, siszyd32, legte sich bei mir in den Autostart Ordner. Danach hatte ich erstmal die Festplatte auf Eis gelegt. Denn entfernen konnte ich das Teil nicht so einfach.
Wo ich es mir eingefangen habe, weiß ich nicht bzw. kann ich nur raten. Ein Antiviren Programm hat jedenfalls nicht angeschlagen.
Gemerkt habe ich es nur, weil der Rechner zu 100% ausgelastet war.
Jetzt werde ich mir erst einmal Deinen zweiten Bericht durchlesen.
@Thomas: Ich konnte die siszyd32 mit der “SUPER AntiSpyware Free Edition” eliminieren. Danach hatte ich beim Neustart aber zweimal einen Bluescreen und erst nach dem einmaligen Starten im abgesicherten Modus konnte ich wieder normal starten.
@Crazy Girl
Leider sind auch die früheren Versionen von Adobe betroffen :/
@Dominik: Schön für Adobe
Generell kann ich bei Infizierungen auch nur dazu raten, den Rechner zu formatieren. Das ist das einzige Mittel um sich sicher zu sein, dass die Malware weg ist. Natürlich sollte man dann natürlich sicherstellen, dass Backupdateien nicht ebenfalls infiziert sind, bevor man Sie wieder einspielt oder gar ausführt. Oft haben die Trojaner Backgroundworker die eine Woche später aktiv werden und das System erneut infizieren oder gar im Hintergrund weiter Misst machen, ohne das man es direkt bemerkt. Beispielsweise wird der Rechner dann als Host genutzt um illegale Materialien zu hosten. Diese können dann dazu führen, dass wenige Tage später auch mal die Polizei vor der Tür steht…
Ein Upload des Trojaners auf virustotal.com ist ebenfalls sinvoll. Hier wird die Malware an alle Antivirenhersteller weitergeleitet sodass der Trojaner schnell in den Signaturen erscheint und weitere Anwender geschützt sind. Manuell kann die Malware natürlich auch bei den Antivirenherstellern einreichen (beispiel für Avira: ‘http://analysis.avira.com/samples/index.php’ )
@Dominik: So lange noch kaum ein Scanner bei diesem Virus anschlägt kann man ihn sich täglich mehrfach holen und seinen Rechner ständig neu formatieren
Am besten man zieht den Stecker und verschwindet und die Bettdecke :p
Nur Virenprogramme/Firewalls und Rooter reichen ja nicht aus, da hat Crazy schon recht.
* DSL Router so konfig., dass er sich nach Nichtnutzung vom www trennt
* Notebook / PC vom www trennen, wenn keine Verbindung nötig
Muss nicht unbedingt aus sein, hatte da bisher keine Probleme.
Wichtige Programme wären noch: Spybot – Search & Destroy (bzw. andere Scanner der Art), CCleaner, ggf. auch Online-Scanner benutzen z.B: Housecall, auch recht gut. Und sonst immer mal in verschiedene Foren schauen wo es um Viren, Trojaner geht.
@Noxed: Ja, manchmal scheint Stecker ziehen und unter die Bettdecke verschwinden die beste Lösung, ist aber nicht wirklich praktikabel