Virus jetzt von Microsoft erkannt!

[Wary]

So harmlos klingt das nicht...

http://www.microsoft.com/security/po...2%2fFignotok.A

Zitat:

Steals user names and passwords
PWS:Win32/Fignotok.A attempts to steal stored user names and passwords from any of the following applications:

DynDns
FileZilla
Firefox
Google Talk
Internet Explorer
No-IP Dynamic Update Client (DUC)
Pidgin Instant Messenger
Steam
Trillian

This information is then sent to a remote attacker by being posted to several websites. In the wild we have observed data being posted to the following domains:

* cummander.blackapplehost.com
* mob.netau.net
* quakeon.ueuo.com


Analysis by Elda Dimakiling

[spiridon]

Wow! Wo kommen jetzt die ganzen Zielhosts her?

[forwarder]

"In the wild" = Nicht zwangslaeufgi genau diese EXE, sondern eine abgewandelte aber mit selben Basiscode. Der Kram ist aber auch so schon recht sinnig gebaut. Code wird immer nur teilweise entschluesselt, Zieladressen nur immer die, die gerade aus irgendwelchen Gruenden benutzt werden soll (Zufall u.a. basierend auf Zeitzone, OS Version, Name des Windows-Verzeichnisses (!?), etc). Ich sitze da nun gut 8h reiner Arbeitszeit mit 2 befreundeten Reversern dran (seit dem Auftauchen aufm Board) und wir habe noch lange nicht genug "gedumpt" bekommen um allein nur festzustellen ob das Ding ueberhaupt (derzeit) aktiv Daten sendet. (Es gibt scheinbar auch ne Art "Schlafmodus", wenn ich das richtig aus dem Wenigen rausgelesen habe was wir bisher extrahieren konnten).

[heiko]

Dafür fehlt Opera in deren Liste...

[soberman]

Wobei ich mich ein wenig an dem "jetzt" im Threadtitel störe..."Updated: Dec 28, 2009 "

[dr_tommi]

@sobermann
Wenn man etwas genauer liest steht da:

Zitat:

Detection initially created:
Definition: 1.63.118.0
Released: Jul 23, 2009

Detection last updated:
Definition: 1.89.685.0
Released: Aug 31, 2010

Und dann passt das wieder mit dem "jetzt".

[DrSnuggles]

Zitat:

Zitat von Wary

So harmlos klingt das nicht...

Wie kommst du auf die Idee das der Trojaner harmlos ist?

[Wary]

Zitat:

Zitat von DrSnuggles

Wie kommst du auf die Idee das der Trojaner harmlos ist?

Behaupten hier einige!

[octopussy]

Hier wird ein System infiltriert, sicherheitsrelevante Daten werden ausgelesen und der Export ist zumindest ungeklärt. Unter harmlos versteh ich was anderes...

[soberman]

Die zuerst auftretenden Versionen von "Fignotok.A" sollen (u.a) einen Dienst und Registryeinträge installiert haben. Kann man "unsere" exe dahingehend "befragen", ob sie das auch tut und wenn ja, unter welchen Namen/Pfaden ?

[Jazzcat]

hab das ding hier auf einem isolierten rechner zu beobachtungszwecken am laufen. registry scheint sauber zu bleiben. dienste muss ich nochmal checken, info folgt

[DrSnuggles]

@Jazzcat:

Du und einige andere verstehen nicht, daß das Verhalten dieser Exe nicht vorhersagbar ist.
Nur weil du nichts beobachtest heißt, daß nicht, daß auf irgendeinem anderen Rechner nichts passiert!

Wir haben die Anaylse von Joebox (Luke), Antivirenhersteller Dr.Web (MrMagoo), Antivirenhersteller Microsoft (Wary) und von den Reversern (forwarder), daß die Exe spioniert und ins Netz versendet!


Es ist völlig hinrissig davor die Augen zu verschließen.

[Jazzcat]

Zitat:

Zitat von DrSnuggles

@Jazzcat:

Du und einige andere verstehen nicht, [...]

Es ist völlig hinrissig davor die Augen zu verschließen.

lieber dr: was ich verstehe und was nicht überlass mal schön mir. ich hab hier extra einen frisch aufgesetzten rechner mit dem ding infiziert um über tage beobachten zu können was das ding macht und was nicht. und nach 2 tagen ist die registry noch sauber. gesendet wurde auch noch nix (wird von einem zweitrechner aus überwacht, wie das bei anderen war kann und will ich nicht beurteilen)
wenn vorhersehbar wäre was das ding genau tut, könnten wir uns die diskussionen hier sparen. ich schrieb auch "scheint sauber zu bleiben". wie das in ein paar tagen aussieht weiß der teufel.
freut mich aber, dass du schon alles weißt und somit alle anderen versuche mehr über das ding rauszufinden so sinnlos sind

und was der versuch mehr über die exe rauszufinden mit augen verschließen zu tun hat kannst du mir gern näher erklären.

nix für ungut
LiGrü,
BluesRat

[chaospir8]

Hallo Leute,

schön, dass ihr an dem Thema bleibt.

Ich denke aber, dass sich die, die meinen, sich damit auszukennen, sich besser untereinander absprechen sollten / koordinieren sollten, was / wie sie das Ding untersuchen. Mit gemeinsamen Kräften kommt ihr schneller zu einem "eindeutigeren" Ergebnis als wenn jeder für sich ein Teilergebnis aus seiner Beobachtung zieht.

[DrSnuggles]

Zitat:

Zitat von Jazzcat

lieber dr: was ich verstehe und was nicht überlass mal schön mir.

Dann vergiss einfach die Idee irgendwelche Informationen gewinnen zu können in dem du nur das Verhalten beobachtest.
Wenn du kein begnadeter VB-Reverser bist, wirst du zu keinem nützlichen Ergebnis kommen.

Jegliche Nachrichten, daß nichts gefunden wurde sind absolut unnütz.
Das "nichts" haben wir schon am ersten Tag der Infektion herausgefunden.

[tamoil]

Mich beschäftigt immer noch die Frage, ob mein System trotz Schutz und Warnung von NOD32 wirklich verschont geblieben ist.
(Der Trojaner wurde in Quarantäne verschoben, siehe Log unten.)
Ich habe logischerweise auch die Mail vom CC-CB erhalten, dass meine IP bzw. mein System von der Infizierung betroffen ist.

Da ich, wie sicher einige andere User an besagtem Abend hier unterwegs waren, habe ich ich die Warnung von NOD32 natürlich erst einmal als "False Positive" eingestuft.

Hier nochmal die Warnung von NOD32 (Mehrfache Logs des selben Eintrags vorhanden):

Zitat:

21.08.2010 20:09:28
HTTP-Prüfung
Datei http://www.cc-community.net/vb/images/link.jar
Java/TrojanDownloader.Agent.NBN Trojaner
Verbindung getrennt - in Quarantäne kopiert
Computername\Benutzer
Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Program Files\Java\jre6\bin\java.exe.

Zitat:

26.08.2010 19:31:03
HTTP-Prüfung
Datei http://www.cc-community.net/vb/images/link.jar
Java/TrojanDownloader.Agent.NBN Trojaner
Verbindung getrennt - in Quarantäne kopiert
Computername\Benutzer
Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Program Files\Java\jre6\bin\java.exe.

Ich konnte es einfach nicht glauben, dass es auch ein Board wie das CC-CB mit einer solchen Infizierung treffen kann.
Nichtsdestotrotz habe ich meine Ubuntu-VM angeworfen, um das CC-CB anzusurfen.
Dann sind mir auch gleich die Beträge vom Doc aufgefallen bezügl. Trojaner. (Danke nochmals für den Einsatz!)

Aufgrund der Bedenken Vieler hier, ziehe ich es ernsthaft in Erwägung, mein System neu aufzusetzen.

//edit:

Wurde die "link.jar" bereits von Jemanden bei Eset zur Analyse eingereicht oder soll ich das tun?

//edit 2:
Mir ist erst jetzt aufgefallen, dass im NOD32 Log die "link.jar" Meldung an zwei verschiedenen Tagen verzeichnet wurde.
Sowohl am 21.08. (Tag des Angriffs hier auf das Board) und dann wieder am 26.08. ???

[holzapfel]

Nur mal am Rand, bin grad drübergestolpertund fands interessant.
Will keinen neuen Thread deswegen aufmachen - passt aber zur Illustration vielleicht ganz gut hier rein.
Mit einem Klick ist alles weg SZ vom 01.09.2010, 17:28

Zitat:

Kriminelle gehen immer seltener zum Bankschalter, um ihr illegal erwirtschaftetes Bargeld zu waschen - stattdessen wählen sie zunehmend den Weg übers Internet. Das Online-Banking ist so unsicher, dass es der BKA-Chef nicht mehr nutzt.

Das Eingeständnis kommt in dieser Deutlichkeit ein wenig überraschend: "Nein, ich mache kein Online-Banking", sagt Jörg Ziercke, Präsident des Bundeskriminalamts (BKA). Etwa zu gefährlich? "Die Angriffe von Trojanern auf das Tan-Verfahren sind enorm, täglich werden 500.000 Rechner in Deutschland infiziert", erklärt Ziercke und gibt einen Einblick, wie es erfahrene Kriminalbeamte mit dem virtuellen Bankgeschäft halten: "Meine BKA-Kollegen haben zwei Computer, einen nur für das Banking und einen, der gar nicht ans Internet angeschlossen ist."

[drossel]

Zitat:

Wurde die "link.jar" bereits von Jemanden bei Eset zur Analyse eingereicht oder soll ich das tun?

Meines Wissens nicht. Wär nett, wenn Du das machst und Feedback gibst

[GhostWriter]

Im glaube die link.jar hat der Dr. sich hier schon angeschaut http://www.cc-community.net/showpost-840832.html
Die war wohl nicht mehr als ein Drive by Download, das eigentliche Problem ist die nachgeladene sponsorads_adver.exe die von NOD noch immer nicht erkannt wird
http://www.virustotal.com/file-scan/report.html?id=f66e6e59ce783dd5f39fa63911f965a66c45cdc0bd67774cb62227d1ecc603ba-1283378335

Vieleicht solltest du die mal einschicken.
Ich hatte sie an Avira geschickt aber die geben keinen wirklich aufschlussreichen bericht.

[tamoil]

Okay, ich hoffe das hat geklappt mit dem Einreichen der "link.jar" bei ESET.
(Scheinbar liegt ja der Trojaner immer noch in der Quarantäne).

Der Ablauf beim Einreichen über ESET NOD32 akt. Version ist ja nicht gerade sonderlich benutzerfreundlich.
Eine Bestätigung über eine erfolgreiche Übermittlung habe ich nicht.
Jetzt weiß ich wenigstens was mit diesem "ThreatSense.net" gemeint ist, das war bei mir abgeschaltet.
Ohne das ist kein direkter Versand von Schadcode an ESET möglich.

Ich werde nämlich morgen mein System neu aufsetzen.

Was mich jetzt noch mehr stutzig macht ist, dass ich die Meldung über die "link.jar" in meiner Logdatei von NOD32 sowohl am 21.08. als auch wieder am 26.08. habe.

[Jens]

Zitat:

Zitat von tamoil

Ich werde nämlich morgen mein System neu aufsetzen.

Was mich jetzt noch mehr stutzig macht ist, dass ich die Meldung über die "link.jar" in meiner Logdatei von NOD32 sowohl am 21.08. als auch wieder am 26.08. habe.

Nun ist offenbar einmal der Härtefall eingetreten. Nämlich die Gewissheit, dass ein gefährlicher Virus einen Angriff auf das heimische Lieblingsgerät gestartet hat.
Man hat die beste verfügbare Anti-Virensoftware installiert und trotzdem ist man sich unsicher. So unsicher, dass man doch sein System neu installiert.
Man hat getestet, Recherchiert und überlegt welche AV-Prgi denn das beste währe... und selbst seinem Favoriten vertraut man dann nicht.

Ich benutze selber NOD32, und obwohl ich den Java-Klick nicht durchgeführt habe, bin ich verunsichert. Denn jetzt geht es erstmals ans Eingamachte (für (m)einen Virus-Scanner).

Ich werde meine NOD32-Abo nicht verlängern. Und auch auf keine kostenlose AV-Lösung setzen.

[Timok]

@Jazzcat

Für mich sind deine Beobachtungen vollkommen logisch, wenn man in Relation setzt, wer der Absender sein könnte und niemanden ausschließt.

Brainstorming -> der Zweck (bestimmte Aktivitäten zeitweilig zu unterbinden) wurde erreicht ohne tatsächlichen Schaden anzurichten.


Mehr hab ich im Moment nicht dazu zu sagen