Zitat:

Zitat von schlawack

Bei mir lässt der Virenschutz den Download von audacity auf deren Homepage nicht zu:

Offenkundig ist nicht nur "audacity.de" zwielichtig sondern auch "audacityorg.de" (s. Screenshot von @schlawack).

Es ist aber auch echt hart: Wenn man "audacity download" bei Google eingibt ist der erst Hit erstmal gleich problematisch (s. Screenshot). Die warhre Herstellerseite ist erst auf Platz 4. Außerdem sind unter den Hits auch die Softonics und Chips dieser Welt

Was ist denn audacity.de.uptodown.de?

Mir scheint, dass die Chance sich beim Download von audacity was einzufangen, ziemlich hoch ist.

Da gebe ich dir Recht, die Gefahr ist sehr groß.

Selbiges gilt für den beliebten VLC Mediaplayer...

Könnt ihr mir bitte mal mit der Begrifflichkeit Adware vs. Malware helfen, so wie ihr das hier verwendet.

Bisher definiere ich so:
Adware: lästig, aber im Grunde harmlos
Malwäre: Lange unauffällig aber dann echt gefährlich/teuer/schmerzhaft

Der Thread heißt aber schon:

Zitat:

nodejs-Malware: FireHooker/DownloadProtect

Das aktuelle Thema mit Firehooker nennt ihr hier aber oft "Adware".

Während ich mit MKDB an meinem Rechner dran war und sicher auch zwischendurch mal kein AV aktiv war (Avira deinstalliert, MSD "gehemmt"), hat der Firehooker scheinbar weitere scheduled tasks bei mir eingehängt. "Bitlocker" ist hier vermutlich nur Tarnung, oder?

Zitat:

Task: {667785F6-A029-42EE-829E-E8F0F8EBADD3} - System32\Tasks\Windows-Prozessaktivierungsdienst Peernetzwerkidentitäts-Manager USB => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
Task: {707BB486-E267-4C29-893D-E6E180FA0989} - System32\Tasks\BitLocker-LaufwerkverschlüsselungsdienstfürAnwendungsinformationen => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG

Wenn man AD.Firehooker.BU weiter werkeln lassen würde, wäre das dann nur "lästig" oder eher "gefährlich"? Was könnte diese ?Adware? denn schlimmstenfalls anstellen? Malware nachladen? Der Mechanismus selbst scheint ja gemäß des bereits zitierten Trendmicro Blogs zu mehr zu taugen.

Nachtrag:
Wenn die jeweilige AV-Engine außer Gefecht gesetzt wird, wird es zumindest indirekt sozusagen als Kollateralschaden gefährlich. Auch wenn die "Adware" selbst nur lästig ist.

Zitat:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG

Bei mir scannte der MSD bei manuell gestartetem Scan gerade mal 9 Files, weil C:\ komplett ausgeschlossen war.

Zitat:

Zitat von LordSoth

Bisher definiere ich so:
Adware: lästig, aber im Grunde harmlos
Malwäre: Lange unauffällig aber dann echt gefährlich/teuer/schmerzhaft

Die Abgrenzung ist unscharf. Nicht immer ist auf Anhieb zu erkennen zu welcher
Kategorie es genau gehört. Es ist mir auch nicht klar, ob es 2015-2019 ( mit demselben Namen) derselbe Type ist.
https://www.trojaner-board.de/174101...-gefunden.html

https://www.2-spyware.com/remove-tra...hooker-bu.html

Zitat:

TR/AD.FireHooker.BU is the name of an unidentified adware infection that might reside in various places on a Windows system, as well as the web browser.

https://en.wikipedia.org/wiki/Trojan.Win32.FireHooker

Zitat:

Trojan.Win32.FireHooker or Trojan:Win32/FireHooker is the definition (from Kaspersky Labs) of a Trojan downloader, Trojan dropper, or Trojan spy created for the Windows platform. [1] Its first known detection goes back to September, 2015, according to the AVV Trend Micro.

und wieder einer, mal sehen wie lang das geht:
https://www.trojaner-board.de/200086...ml#post1741517

Zitat:

Zitat von MathiGEO

Avira meldet seit dem 30.09 jeden Tag um 16:00 Uhr den Fund von "TR/AD.FireHooker.BU". Ich habe einige Tage zuvor OBS, Audacity, DaVinci Resolve und GIMP installiert.

Ok, die Beiträge waren definitiv aufschlussreich. Ich verstehe jetzt immerhin etwas besser worum es geht. Werde logischerweise trotzdem nix selbst verändern weil ich offenkundig überhaupt keine Ahnung habe was ich mache.
Hätte mir in Retrospektive allerdings auch selbst denken müssen das der Download von Audacity nicht auf einer deutschen Website angeboten wird.

h**ps://www.audacity.de/
Kontakt=Impressum dieser Verseuchungsseite ist ein Bild.
für Google abgetippt:

Zitat:

iWeb Media Ltd.

CEO: Marco Mercieca
International House, Mdina Road
BRK 3000 Birkirka
Malta

Email: info@iweb-media.net
Phone: +356 222 632 20

Dank DENIC ist der Registrant de facto anonym

https://protipps24.com/de/impressum/

Zitat:

Ads Optimizer Pro Ltd
International House, Mdina Road, Mriehel
BKR
3000 Birkirkara

Handelsregister: C62366
Registergericht: Amtsgericht Valetta

Vertreten durch die Geschäftsführer:
Marco Mercieca

und weiter gehts https://aop-ltd.com/imprint/

Zitat:

Zitat von LordSoth

Offenkundig ist nicht nur "audacity.de" zwielichtig sondern auch "audacityorg.de" (s. Screenshot von @schlawack).

Es ist aber auch echt hart: Wenn man "audacity download" bei Google eingibt ist der erst Hit erstmal gleich problematisch (s. Screenshot). Die warhre Herstellerseite ist erst auf Platz 4. Außerdem sind unter den Hits auch die Softonics und Chips dieser Welt

Was ist denn audacity.de.uptodown.de?

Mir scheint, dass die Chance sich beim Download von audacity was einzufangen, ziemlich hoch ist.

Es wird echt Zeit, dass Google und andere Suchmaschinen diese Arschlochseiten aus seinen Suchergebnissen entfernt. Ich weiß aber nicht ob eine Beschwerde etwas bringt.
Ich hab schön öfter vlc.de als Betruf über den Firefox gemeldet
(über Hilfe -> Betrügerische Seite melden) aber passiert ist mW noch garnix!

Zitat:

Zitat von cosinus

Es wird echt Zeit, dass Google und andere Suchmaschinen diese Arschlochseiten aus seinen Suchergebnissen entfernt. Ich weiß aber nicht ob eine Beschwerde etwas bringt.
Ich hab schön öfter vlc.de als Betruf über den Firefox gemeldet
(über Hilfe -> Betrügerische Seite melden) aber passiert ist mW noch garnix!

Liegt vermutlich daran, dass es bisher nicht genug gemeldet haben. Der Betrug wird ja nicht sofort sichtbar. Wenn man allerdings Ad-/Skriptblocker benutzt, dann wird die Seite als Malware verbreitend erkannt.

Zitat:

Zitat von cosinus

Ich hab schön öfter vlc.de als Betruf über den Firefox gemeldet

ublock weigert sich den Müll zu laden.
https://www.file.net/prozess/vlc-updater.exe.html

Ganz unten auf der HP steht übrigens

Zitat:

VLC.de ist nicht assoziiert mit der VideoLAN non-profit organization

gibt ein Forum > h**ps://www.vlc-forum.de/

Zitat:

Das offizielle VLC Forum von w*w.vlc.de

Impressum natürlich auch wieder als Bild:

Zitat:

Inhaber Frank Bohling
Klein Eissel 10
D-27283

Zitat:

Aller Media e. K. - Klein Eissel 10, 27283 Verden, Deutschland
Klein Eissel 10
27283 Verden

Zitat:

Zitat von Darklord666

Liegt vermutlich daran, dass es bisher nicht genug gemeldet haben. Der Betrug wird ja nicht sofort sichtbar. Wenn man allerdings Ad-/Skriptblocker benutzt, dann wird die Seite als Malware verbreitend erkannt.

Trotzdem ist das nicht akzeptabel v.a. weil das schon seit über zehn Jahren bekannt ist.
GuRu hatte sogar mal einen Rechtsstreit mit dem Seitenbetreiber von vlc.de wegen diesen Thread

Zitat:

Zitat von LordSoth

Könnt ihr mir bitte mal mit der Begrifflichkeit Adware vs. Malware helfen, so wie ihr das hier verwendet.

Bisher definiere ich so:
Adware: lästig, aber im Grunde harmlos
Malwäre: Lange unauffällig aber dann echt gefährlich/teuer/schmerzhaft

Malware ist der Überbegriff für jegliche Art von Schadsoftware und beinhaltet alles... von harmloser Adware, über Spyware, Trojaner, Keylogger, Würmer, Viren, etc. bis zum sehr gefährlichen Rootkit.

PUP/PUA (Potentially Unwanted programs/Potentially Unwanted Application) gibt es auch noch... für mich ist das eine "abgeschwächte Form" der Adware, die oft über Drittanbieter-Software ungewollt mit auf dem Rechner kommt, das System verlangsamen und selbst weitere PUP/PUA nachladen kann.


Die "Nodejs-Malware" lädt weitere Adware/PUP nach, z. B. DownloadProtect.
Was es sonst noch macht, kann ich dir nicht sagen... daher ist auch eine genaue Eingruppierung schwer.

Müssen wir eigentlicher unebdingt die nodejs Ordner und Registryobjekte mit FRST aus dem System kloppen? Die nodejs selbst ist ja keine Malware und nach meinem gestrigen Test hab ich im Startmenu sogar einen uninstall Eintrag für nodejs gefunden

Zitat:

Zitat von cosinus

Müssen wir eigentlicher unebdingt die nodejs Ordner und Registryobjekte mit FRST aus dem System kloppen? Die nodejs selbst ist ja keine Malware und nach meinem gestrigen Test hab ich im Startmenu sogar einen uninstall Eintrag für nodejs gefunden

Den Uninstall-Eintrag findet man aber nicht in jedem Thema... eher fast nirgends.
Ich hau alles weg, weil es für mich PUP ist.

Mal eine kommerzielle Frage: Auf welchem Weg/wie profitieren/kassieren diese Typen?

Die machen das doch nicht für lau.

Zitat:

Zitat von webwatcher

Mal eine kommerzielle Frage: Auf welchem Weg/wie profitieren/kassieren diese Typen?

Die machen das doch nicht für lau.

Kommt drauf an, was die mit dieser malware überhaupt erreichen wollen. Erpressungsversuche durch Verschlüsselungen scheinen es ja noch nicht bisher zu sein.