Ich habe mir vor kurzem einen Trojaner eingefangen, den ich mit Hilfe von -SilverDragon- wieder losgeworden bin http://www.trojaner-board.de/60168-f...ufsetzen.html. Es handelt sich um einen Trojaner, der sich durch eine gefakete Malwarewarnung auf dem Desktop zeigt. Da dieser anscheinend sehr weit verbreitet ist, denke ich mir das sich einige Leute (speziell ich) mehr für die Funktionsweise interessieren.

Ich habe mir diesen Mistkerl eingefangen, als ich die Google-Bildersuche benutzte. Ich habe Thumbnails in neue Tabs geöffnet (ohne auf die URL´s zu achten). Meine Firewall (Bitdefender 9) meldete plötzlich das ein Programm versucht einen Registryeintrag vorzunehmen, um beim Start von Windows geöffnet zu werden. Diese Meldung kam zweimal, da ich zwei Bilder von der gleichen URL angeklickt hatte. Ich verweigerte den Registryeintrag und schloß Firefox sofort, leider ohne mir die betreffende Seite vorher anzusehen. Nach Neustart des Rechners fand ich eine Malwarewarnung anstatt meines üblichen Hintergrundes wieder. In der Anzeigesteuerung fehlten die Tabs zum ändern des Hintergrundes sowie des Bildschirmschoners.

Ich ließ Bitdefender nach Viren scannen, dieses blieb ohne Ergebnis. Ich installierte Antivirus, welches beim scannen total abstürzte und einen Bluescreen of Death zeigte. Bei einer manuelle Suche im System32-Ordner bemerkte ich drei Dateien:

eine *.bmp (die Malwarewarnung die als Hintergrundbild benutzt wird.)
eine *.exe (der Trojaner mit mir unbekannter Funktion)
eine *.scr (hier handelt es sich wohl um den "Absturz", einfach ein Screensaver, der sich nicht ausschalten läßt)

Diese Dateien scheinen bei jeder Neuinfektion einen zufällig gewählten Namen zu tragen. Ich denke, das die Tabs in der Anzeigesteuerun entfernt werden um von die Absturzsimulation zu tarnen.

Da ich als Laie nicht viel von der Materie verstehe, aber nicht total dumm sterben möchte, würde ich Folgendes gerne verstehen:

1. Wie konnte sich dieses Biest auf meine Festplatte schleichen, ohne das ich etwas runtergeladen oder angeklickt habe.
2. Wieso gibt Bitdefender eine Warnung raus, gibt mir die Möglichkeit den Registryeintrag zu verhindern, läßt den Eintrag dann aber doch zu.
3. Wieso hat sich der Trojaner nur einmal auf die Festplatte geschrieben (Bitdefender gab zwei verschieden Warnungen raus)?
4. Hat irgendwer diesen Trojaner reverse engineered und kann mir sagen, was er im Einzelnen tut?
5. Warum simuliert er einen Absturz durch einen Screensaver, anstatt wirklich einen vorzunehmen?

Ich wäre dankbar, wenn ihr meine unwissenden Geist etwas erhellen könntet!

Hi,

Zitat:

1. Wie konnte sich dieses Biest auf meine Festplatte schleichen, ohne das ich etwas runtergeladen oder angeklickt habe.

Wenn du dir sicher bist, das du definitiv nichts runtergeladen und installiert hast, denk ich via Drive-By Download.
Dies passiert, wenn eine Sicherheitslücke von einer veralteten Software ausgenutzt wird.

Zitat:

2. Wieso gibt Bitdefender eine Warnung raus, gibt mir die Möglichkeit den Registryeintrag zu verhindern, läßt den Eintrag dann aber doch zu.

Weil BitDefender keine Rechte mehr hatte.

Zitat:

3. Wieso hat sich der Trojaner nur einmal auf die Festplatte geschrieben (Bitdefender gab zwei verschieden Warnungen raus)?

Eine Malware kann aus verschiedenen Files bestehen. Beispiel Bagle.

Zitat:

4. Hat irgendwer diesen Trojaner reverse engineered und kann mir sagen, was er im Einzelnen tut?

Trojan.FakeAlert ist eine allgemeine Bezeichnung für Rogue Software.
Diese gibt vor, gut zu sein, will dich aber abzocken.
Bei den Rogue Antivirus z.B. täuscht sie gefährliche Infektionen vor um dich zum Kauf der Software zu leiten.

Zitat:

5. Warum simuliert er einen Absturz durch einen Screensaver, anstatt wirklich einen vorzunehmen?

Da musst du den Coder fragen.

habe diese malware auch gestern abbekommen
war auf der suche nach pinseln für photoshop, ich habe nur legale seiten besucht deswegen war ich doch sehr überascht das ich nen virus eingefangen habe. jetzt meine frage wie kann ich mich vor dieser malware schützen ???
norton scheint ja nicht viel zu bringen

Klick auf den Link in meiner Signatur (Sicher ins Netz).

gibt es auch eine im hintergrund laufende software die empfehlenswert ist

Empfehlenswert für was?

Meinst du eine Virenklingel?

irgendwas zum verhindern das die reg. verändert wird
aber ich denke ich werde jetzt einfach mit konten surfen die beschränkte rechte haben

ich habe wegen diesem virus 2 tage verloren ;(

Zitat:

aber ich denke ich werde jetzt einfach mit konten surfen die beschränkte rechte haben

Genau das ist der Punkt.