Hallo Leute,

hatte heute einen ganz interessanten Fall. Hab eine Dabei bekommen, die nennt sich "Bild von SCR.jpg". Obwohl es die Endung .jpg hat, erkennt Windows diese als Bildschirmschoner.

Ich hab natürlich die Option "Dateiendung bei bekannten Dateitypen ausblenden" deaktiviert, damit ich auch wirklich alle Dateiendungen angezeigt bekomme!

Wenn ich diese Datei umbenennen will, passiert auch was interessantes. Windows 7 markiert dann ja erstmal nur den Dateinamen und nicht die Endung. Im Fall dieser Datei Markiert Windows "Bild von .jpg" und lässt das SCR (Screensaver File) unmarkiert, also ist die "wahre Dateiendung" scr!

Wie geht sowas?

Ich weiß wohl das es ein Virus ist, denn beim Ausführen legt das Ding diverse Prozesse an, die sich gegenseitig überwachen. Versucht man also eine dieser Prozessdateien zu löschen, wird sie automatisch wieder angelegt!

Was mich hier aber primär interessiert, wie dieser Dateiname möglich ist? Kann man sich mittlerweile nicht mehr sicher sein, dass eine Datei mit Endung jpg eine ausführbare ist?

hi
zeig mal die datei bitte:
Trojaner-Board Upload Channel

OK hab sie gepackt, weil wenn ich sie per Webform sende, nennt die sich um in Pic_01 BY ... gpj.SCR - Dann sieht man auch das es ne SCR ist. Ich hab sie jetzt mal als RAR gesendet - In der rar heißt die auch Pic_01 BY ... gpj.SCR, aber wenn man die Rar entpackt heißt die entpackte Datei Pic_01 BY SCR.jpg!

Ich glaub im Dateinamen sind Maschinenzeichen drin, die die Endung verdrehen!

hi
dass nennt man right to left override
“exe� read backwards spells “malware� | Commtouch Café
ich hoffe du kannst englisch, da ist nen artikel, falls unklarheiten bestehen, melden.
hast du das teil auf deinem produktiv system ausgeführt?

Zitat:

Zitat von markusg

hast du das teil auf deinem produktiv system ausgeführt?

Ja, aber nur als eingeschränkter Benutzer. Das Teil hätte somit nicht genug Möglichkeiten gehabt sich tief ins System zu graben!

Ich hatte nach dem ausführen 2 Dateien unter:
C:\Benutzer\MeinBenutzer\AppData\Roaming\ liegen. Die hießen glaub R04.exe und eine R04 ohne Endung. Wenn ich versucht habe die beiden Dateien zu löschen, haben die sich selber wiederhergestellt!

Da ich das Teil ja nur als eingeschränkter Benutzer ausgeführt habe, dürfte es nicht die Möglichkeit gehabt haben, irgendwelche Prozesse dem Autostart per Registry Eintrag hinzuzufügen.

Ich hab also den Rechner komplett neu gestartet und dann konnte ich diese beiden Files auch löschen, ohne das die sich wiederhergestellt haben!

Durch das eingeschränkte Konto dürfte das Teil keine Möglichkeit gehabt haben sich auf C: oder C:\windows\* zu schreiben und sich somit als Dienst oder Treiber zu tarnen. Wenn es einen Prozess angelegt hat, dann nicht in den beiden genannten Ordnern und selbst wenn es irgendwo anders noch einen Prozess angelegt hat, hätte es keine Möglichkeit sich in den Autostart zu schreiben, da das auch nur der Admin machen darf!

Die einzige Möglichkeit wäre noch den Bootsektor zu überschreiben, aber ich glaub das darf ein eingeschränkter Benutzer mit Sicherheit auch nicht ohne weiteres!

Ich hab auch über mein Norton Internet Security einen Insight Check (bzw. Norton Community Watch) aller laufenden Prozesse, Dienste und Treiber gemacht, alles positiv bewertet!

Ich kann bei Norton dort auch sehen wann Norton das erste mal diesen Dienst, Treiber oder Prozess festgestellt hat. Da mir das am 02.10. passiert ist, müsste ich einen Prozess, Dienst oder Treiber finden, der seit dem 02.10. zum ersten mal gestartet wurde. Da war auch nix bei.

Ich gehe also mal davon aus, dass zum Glück nix weiter passiert ist!

Man könnte das Teil ja mal in der Sandbox (Sandboxie) ausführen und dort schauen was das Teil so alles versucht zu schreiben!? Oder?

ist nen passwort stealer, wenns mein pc is wäre er schon neu instaliert :-)

Wie haste das rausgefunden? Welcher ist das? Erkennt ja kein Virenscanner. Hast Du das Teil jetzt selber auseinandergenommen?

Wenn ich alles neu installiere, muss ich da alle Partitionen vorher killen, oder reicht es c zu formatieren?

Passwortstealer sollte man übrigens auch nicht in Sandboxie ausführen ;-) das kann selbst da schief gehen...

es ist ein backdoor, und backdoors stehen passwörter.
von wo hast du den eigendlich? nen link zur verfügung? falls ja als private nachicht
partitionen löschen musst du nciht, aber neu instalieren, anleitung:
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

@Markusg Du hast ne PN!

Also ich hab auf dem Rechner nen externen IDE Controler, an dem noch 2 Platten dranhängen. Ich hab den Rechner damals von ner Firma einrichten lassen, die es nicht mehr gibt. Ich hab leider die Treiber nicht für den Controler und hab auch keinen Plan welcher das ist. Wie find ich das raus?

ne ich wollte aber per pm wissen, ob du weist von wo du die malware hast, evtl. mit link.
lies mal mit everest home aus:
http://filepony.de/download-everest_home/
kurzbericht, und hänge den an

An Controlern hab ich die hier gefunden mit Everest

[ Intel(R) 6 Series/C200 Series Chipset Family 6 Port SATA AHCI Controller - 1C02 ]

Geräteeigenschaften:
Gerätebeschreibung Intel(R) 6 Series/C200 Series Chipset Family 6 Port SATA AHCI Controller - 1C02
Treiberdatum 10.09.2010
Treiberversion 9.2.0.1011
Treiberanbieter Intel
INF-Datei oem3.inf

Geräteressourcen:
Port 0001-C0106
Port 0003-5070107
Port F020-F03F
Port F070-F077
Port F090-F097

[ JMicron JMB36X Controller ]

Geräteeigenschaften:
Gerätebeschreibung JMicron JMB36X Controller
Treiberdatum 10.08.2010
Treiberversion 1.17.58.2
Treiberanbieter JMicron Technology Corp.
INF-Datei oem29.inf

Geräteressourcen:
Port 0001-0000
Port 0003-0002
Port D000-D00F
Port D020-D027
Port D040-D047

[ Marvell 91xx SATA 6G Controller ]

Geräteeigenschaften:
Gerätebeschreibung Marvell 91xx SATA 6G Controller
Treiberdatum 27.08.2010
Treiberversion 1.0.0.1045
Treiberanbieter Marvell Inc.
INF-Datei oem25.inf

Geräteressourcen:
Port 0001-0000
Port 0003-0002
Port B000-B00F
Port B020-B027
Port B040-B047

[ Silicon Image SiI 0680 ATA/133 RAID Controller ]

Geräteeigenschaften:
Gerätebeschreibung Silicon Image SiI 0680 ATA/133 RAID Controller
Treiberdatum 23.07.2007
Treiberversion 1.0.3.0
Treiberanbieter Silicon Image
INF-Datei oem30.inf

Geräteressourcen:
Port 0001-5F005F
Port 0003-300034
Port C080-C08F
Port C0A0-C0A7
Port C0C0-C0C7

Gerätehersteller:
Firmenname Silicon Image, Inc.
Produktinformation hxxp://www.siimage.com/products
Treiberdownload hxxp://www.siimage.com/support/downloadcenter.aspx


Ich geh mal stark davon aus, dass es der ist:
Silicon Image SiI 0680 ATA/133 RAID Controller

Korrekt?

Also nach eingehender Info scheint das der zu sein und da als herausgeber beim Treiber Microsoft da steht, sollte das schon seitens Windows installiert werden.

Andere Frage - Gibts die Möglichkeit sich vor diesen Overrides zu schützen, also zumindest in Dateinamen? Das man das sozusagen deaktiviert, weil braucht eh keiner...

@Markusg: So hab das System neu aufgesetzt. Ich hab aber, wie angewiesen auch nur die Platte formatiert. Ein MBR Virus schließt Du aus, oder?

hi,

gute frage ob man sich vor overrides schützen kann, hab mich da noch nicht weiter informiert da das schon lange nicht mehr vor kam, aber ich schau mal.
du kannst dateien immer bei:
www.virustotal.com
prüfen
dort unter additional informationen kannst du auch infos zum datei typ einsehen.
wegen der frage nach dem mbr, die du per pm gestellt hast, das war nen backdoor, der macht nichts am mbr
sichere mal den pc ab:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.74

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

passwort sicherheit:
jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort
bei der passwort verwaltung und erstellung hilft roboform
Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager
anleitung:
RoboForm-Bedienungsanleitung: Passwort-Manager, Verwalten von Passwörtern und persönlichen Daten

Ich habe nen neues Windoof aufgesetzt, alle Updates installiert usw.

Also was Computersicherheit betrifft: Ich hab ne Firma in die Richtung und arbeite da für andere Unternehmen. Ich kämpfe viel mit so nem Scheiss rum...

Aber dieses "Right to Left Override" ist mir noch nicht untergekommen!

Was mich rein fachlich mal interessieren würde - Wie hast Du rausbekommen, dass das File n Backdoor war. Welche Files es angelegt hat usw. konnte ich ja auch teilweise verfolgen, aber das wars dann auch schon!

Gut man könnte das Teil Offline in ner Sandbox laden und die Aktionen verfolgen, aber was macht Dich so sicher, dass es ausgerechnet n Backdoor ist. Hätte auch n Remote Trojaner oder m Worm sein können...

Ich benutze übrigens Norton Internet Security. Habe unzählige Tools getestet auf Herz und Nieren und der hat bisher so einiges in den Schatten gestellt, selbst laut eigenen Testerfahrungen Kaspersky und co...

Finde bei Norton auch diese Community Watch ne geile Idee. Fingerprints von Files in einer Community prüfen, um relativ sicher feststellen zu können ob man eine kompromitierende Datei hat.

Die meisten kostenlosen Scanner sind unsinn. Vor allem Avira ist der absolute Unsinn m.e.!

hi
Joe Sandbox - Web Interface
da hab ich das file geprüft und es zeigte backdoor typische verhaltensmuster, wie zb verbindungen.
abschalten lässt sich das übrigens nicht
norton entscheidet mir zu viel selbst setzt zb files in die quarantäne ohne das man als nutzer selbst auswählen kann ob das überhaupt gewünscht ist