nodejs-Malware: FireHooker/DownloadProtect

cosinus · 08.10.2020, 17:10

Zitat:

Zitat von M-K-D-B

Den Uninstall-Eintrag findet man aber nicht in jedem Thema... eher fast nirgends.
Ich hau alles weg, weil es für mich PUP ist.

Manche haben aber nodejs drauf, weil sie es wirklich brauchen. Zerkloppt man dann nicht deren legitime Installation?

LordSoth · 08.10.2020, 18:05

Zitat:

Zitat von cosinus

Manche haben aber nodejs drauf, weil sie es wirklich brauchen. Zerkloppt man dann nicht deren legitime Installation?

Bei mir war nodejs auch erst nach der audacity.exe Installation da. Das scheint der wahrscheinlichste Fall zu sein, wenn man dem bereits öfters zitierten TrendMicro Blog Glauben schenken darf.

Zitat:

The use of Node.js is an unusual choice for malware authors writing commodity malware, as it is primarily designed for web server development, and would not be pre-installed on machines likely to be targeted. However, the use of an uncommon platform may have helped evade detection by antivirus software.

Mann könnte ja abfragen, ob jemand die node.exe kennt und braucht. Wenn die Antwort "Was brauch ich?" lautet, kann's weg.

webwatcher · 08.10.2020, 18:09

Zitat:

Zitat von LordSoth

Mann könnte ja abfragen, ob jemand die node.exe kennt und braucht. Wenn die Antwort "Was brauch ich?" lautet, kann's weg.

Glaube kaum, dass die jemand braucht
http://deinstallierenvonspyware.blog...einfachen.html

Zitat:

Was wissen Sie über Node.exe Miner?
In diesen Computertechnologien wächst die Virusinfektion schnell. Unter allen Systeminfektionen, Node.exe Miner Ist eine der häufigsten Infektionen, die von der Anzahl der Computer-Nutzer Opfer wurde. Speziell wurde es von einem Team von Cyber-Hackern entworfen und erstellt, zusammen mit der alleinigen Absicht, Online-Einnahmen aus dem unschuldigen Benutzer zu verdienen. Um Online-Gewinn zu verdienen, führt sein Autor eine Reihe von bösartigen Aktivitäten durch. Es ist in der Lage, fast alle Web-Browser zu infizieren und System Das läuft auf Windows-basiertes Betriebssystem.

cosinus · 08.10.2020, 18:19

Nochmal: node.js an sich ist legit siehe https://de.wikipedia.org/wiki/Node.js

Node.js ist eine plattformübergreifende Open-Source-JavaScript-Laufzeitumgebung, die JavaScript-Code außerhalb eines Webbrowsers ausführen kann. Damit kann zum Beispiel ein Webserver betrieben werden. Node.js wird in der JavaScript-Laufzeitumgebung „V8“ ausgeführt, die ursprünglich für Google Chrome entwickelt wurde, und bietet eine ressourcensparende Architektur, die eine besonders große Anzahl gleichzeitig bestehender Netzwerkverbindungen ermöglicht.

LordSoth · 08.10.2020, 18:24

Zitat:

Zitat von cosinus

Nochmal: node.js an sich ist legit siehe https://de.wikipedia.org/wiki/Node.js

Das bestreitet ja auch keiner.

Was ich mit dem Zitat sagen wollte, ist dass es auf Rechnern normaler User offenkundig eher selten vorkommt. Das (der normale User) dürfte doch hier auf dem Board der am häufigsten anzutreffende Fall sein.

cosinus · 08.10.2020, 18:25

Hab eben nochmal meine Windows8-VM mit dem Audcity von audacity.de infiziert. Es kommt neben dem Müll (Javascript-Malware), die nodejs benötigt auch Schwachsinn von Lavasoft rein. Hier mal eine Datei und Regsuche mit FRST nach der Infektion:

Code:

ATTFilter

================== Datei-Suche: "Findfolder: nodejs;lavasoft;webcompanion
nodejs;lavasoft;webcompanion;node.exe" =============

2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\Users\root\AppData\Roaming\Lavasoft
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\Users\root\AppData\Local\Lavasoft
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\ProgramData\Lavasoft
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\ProgramData\Lavasoft\Web Companion\Logs\Webcompanion
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\Program Files (x86)\Lavasoft
2020-10-08 18:54 - 2020-10-08 18:55 _____ C:\Program Files (x86)\nodejs

====== Ende von Suche ======

Code:

ATTFilter

===================== Suchergebnis für "lavasoft" ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\UFH\ARP]
"1"="Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
{06b277c4-f364-4096-9b06-eac13192309c}
C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe --uninstall"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Lavasoft]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"Publisher"="Lavasoft"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"DisplayIcon"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionIcon.ico"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"URLInfoAbout"="http://www.lavasoft.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"Contact"="support@lavasoft.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"UninstallString"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe --uninstall"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WCAssistantService]
"ImagePath"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe"

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Lavasoft]

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"FaviconPath"="C:\ProgramData\Lavasoft\Web Companion\Icons\bing.ico"

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"Web Companion"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize "

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\UFH\SHC]
"0"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk
C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe
--startmenu"


===================== Suchergebnis für "webcompanion" ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\UFH\ARP]
"1"="Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
{06b277c4-f364-4096-9b06-eac13192309c}
C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe --uninstall"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanionInstaller_RASAPI32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanionInstaller_RASMANCS]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanion_RASAPI32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanion_RASMANCS]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"DisplayIcon"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionIcon.ico"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"UninstallString"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe --uninstall"

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com]

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"Web Companion"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize "

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\UFH\SHC]
"0"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk
C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe
--startmenu"


===================== Suchergebnis für "node.exe" ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\246E4976B601AE8598C1F02B985905ED]
"27AC50E0DD8DF2342ACC8800434A5877"="C:\Program Files (x86)\nodejs\node.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}]
"ResourceFileName"="C:\Program Files (x86)\nodejs\node.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}]
"MessageFileName"="C:\Program Files (x86)\nodejs\node.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}]
"ApplicationIdentity"="C:\Program Files (x86)\nodejs\node.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}]
"ApplicationIdentity"="C:\Program Files (x86)\nodejs\node.exe"

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\UFH\SHC]
"2"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js\Node.js.lnk
C:\Program Files (x86)\nodejs\node.exe
"

====== Ende von Suche ======

cosinus · 08.10.2020, 18:36

Zitat:

Zitat von M-K-D-B

Den Uninstall-Eintrag findet man aber nicht in jedem Thema... eher fast nirgends.
Ich hau alles weg, weil es für mich PUP ist.

Ich konnte folgenden uninstall string aus der Verknüpfung abgreifen:

Code:

ATTFilter

C:\Windows\SysWOW64\msiexec.exe /x {0E05CA72-D8DD-432F-A2CC-880034A48577}

Wenn der immer gleich ist, könnte man darüber das ungewollte (und btw auch stark veraltete!) node.js deinstallieren!

M-K-D-B · 08.10.2020, 21:13

Kann ich das auch direkt mit FRST über CMD ansprechen? Wenn ja, wie?

Edit:
In über 99% der Fälle ist die Software nodejs nicht von Nutzern installiert, insbesondere wenn es zeitgleich mit audacity oder WebCompanion auf den Rechner gekommen ist.
Dieser Dreck von Lavasoft nervt mich auch schon seit Monaten... AdwCleaner entfernt das Meiste von WebCompanion...

cosinus · 08.10.2020, 21:35

Zitat:

Zitat von M-K-D-B

Kann ich das auch direkt mit FRST über CMD ansprechen? Wenn ja, wie?

Vllt mit "cmd: " ?!

Code:

ATTFilter

cmd: "C:\Windows\SysWOW64\msiexec.exe /x {0E05CA72-D8DD-432F-A2CC-880034A48577}"

Zitat:

Edit:
In über 99% der Fälle ist die Software nodejs nicht von Nutzern installiert, insbesondere wenn es zeitgleich mit audacity oder WebCompanion auf den Rechner gekommen ist.
Dieser Dreck von Lavasoft nervt mich auch schon seit Monaten... AdwCleaner entfernt das Meiste von WebCompanion...

Vor 15-20 Jahren war Lavasoft Ad-Aware so ne Art malwarebytes....aber dann mutierte es zu scheiße

webwatcher · 09.10.2020, 11:29

und weils so schön ist:

Zitat:

GIMP - Download kostenlos (deutsch)
www.gimp24.de
(Siehe auch http://www.gnu.org/licenses/lgpl.html) GIMP24.de ist nicht assoziiert mit der offiziellen Seite (https://www.gimp.org) des Projektes. Datenschutz.

Und wer ist dafür zuständig? Dreimal darf man raten: wie üblich als Bild:

Zitat:

Zitat von Impressum gimp24.de

Arne König
Eisseler Strasse 39
27383 Verden

Auf gmx als Updateangebot aufgeschlagen.

PS: Google bringt bei Suche nach gimp die echte Seite

Yatagan · 09.10.2020, 13:53

Zitat:

Zitat von webwatcher

und weils so schön ist:

Und wer ist dafür zuständig? Dreimal darf man raten: wie üblich als Bild:

Der hat so Einiges am laufen...

LordSoth · 09.10.2020, 16:40

Zitat:

Zitat von Yatagan

Der hat so Einiges am laufen...

Ist das eigentlich strafbar? Das Ganze produziert ja jede Menge Ärger, Kosten und und womöglich auch Schäden. Oder ist das eine Grauzone, wo rechtlich nichts zu machen ist?

Der Mensch sitzt ja in Deutschland und nicht auf Tuvalu. Oder seine Kontaktdaten werden von unbekannten Dritten missbräuchlich verwendet und er weiß nichts vorn seinem Glück

M-K-D-B · 09.10.2020, 20:59

Ich habe jetzt schon mehrfach in Themen gesehen, dass durch die "Nodejs-Malware" die Adware/PUP DownloadProtect nachgeladen wird.

Beispiele:

Zitat:

Edge Extension: ( ) - C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo [2020-10-09]

FF HKLM\...\Firefox\Extensions: [{42826D79-D38A-4C50-8AAC-434BBAF96A87}] - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi [2020-10-09]
FF HKLM-x32\...\Firefox\Extensions: [{42826D79-D38A-4C50-8AAC-434BBAF96A87}] - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi

CHR Extension: ( ) - C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\badphekeihghaiffknalgfamacoedncb [2020-10-09]

webwatcher · 10.10.2020, 09:46

Zitat:

Zitat von LordSoth

Ist das eigentlich strafbar? Das Ganze produziert ja jede Menge Ärger, Kosten und und womöglich auch Schäden. Oder ist das eine Grauzone, wo rechtlich nichts zu machen ist?

Wenn jemand völlig überflüssige Downloads ins WWW stellt mit Irreführung von Usern durch Namensgebung und mit dieser Masche PUP/Adware/ev Malware unterjubelt, ist das für mich Betrug, wenn nicht sogar mehr. Aus Menschenfreundlichkeit geschieht das bestimmt nicht, sondern für handfeste kommerzielle Interessen. Unternehmen, die diese Masche honorieren, sind für mich Mittäter. Aber wo (bisher) kein Kläger, da kein Richter.
Erfahrene User fallen kaum darauf rein und Otto Normaluser ist froh, wenn er (zB. unter Hilfe im Board) aus dem Schlamassel mit einem blauen Auge davonkommt.

M-K-D-B · 10.10.2020, 11:48

Zu den genanten Erweiterungen...

Zitat:

Edge Extension: ( ) - C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo [2020-10-09]

CHR Extension: ( ) - C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\badphekeihghaiffknalgfamacoedncb [2020-10-09]

... finden sich entsprechende Einträge über einen Komplett-Suche:

Zitat:

================== Datei-Suche: "SearchAll: gameccgmdhnpgcfkcppabiengeodgaoo;badphekeihghaiffknalgfamacoedncb" =============

Datei:
========
C:\Windows\Installer\{A33A4EA1-8E7F-47F1-AD1C-20866C022FC2}\cgameccgmdhnpgcfkcppabiengeodgaoorx
[2020-10-09 21:32][2020-10-09 21:32] 000009128 _____ () 84A029181C81420F7726E228D89503B2 [Datei ist nicht signiert]

C:\Windows\Installer\{A33A4EA1-8E7F-47F1-AD1C-20866C022FC2}\xgameccgmdhnpgcfkcppabiengeodgaooml
[2020-10-09 21:32][2020-10-09 21:32] 000000329 _____ () 0AD79A9ADE8AE098C505CC46CD113CF8 [Datei ist nicht signiert]

C:\Windows\Installer\{83593F80-7803-4CEE-B8D3-024DCE10F2AD}\cbadphekeihghaiffknalgfamacoedncbrx
[2020-10-09 21:32][2020-10-09 21:32] 000009128 _____ () D52D5080B8928F1A32D02F8E6F9462B1 [Datei ist nicht signiert]

C:\Windows\Installer\{83593F80-7803-4CEE-B8D3-024DCE10F2AD}\xbadphekeihghaiffknalgfamacoedncbml
[2020-10-09 21:32][2020-10-09 21:32] 000000329 _____ () C8799FC28D8AF77E76F73DB74F23E78B [Datei ist nicht signiert]

Ordner:
========
2020-10-09 21:35 - 2020-10-09 21:35 _____ C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo
2020-10-09 21:35 - 2020-10-09 21:35 _____ C:\FRST\Quarantine\C\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\badphekeihghaiffknalgfamacoedncb

Registry:
========

===================== Suchergebnis für "gameccgmdhnpgcfkcppabiengeodgaoo" ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist]
"1"="gameccgmdhnpgcfkcppabiengeodgaoo;file:///C:/WINDOWS/Installer/%7BA33A4EA1-8E7F-47F1-AD1C-20866C022FC2%7D/xgameccgmdhnpgcfkcppabiengeodgaooml"

[HKEY_USERS\S-1-5-21-1434175282-2877166796-1715742309-1000\SOFTWARE\Microsoft\Edge\PreferenceMACs\Default\extensions.settings]
"gameccgmdhnpgcfkcppabiengeodgaoo"="2F902E002DE7EA82B3F77EA1BAAE17F3CC7659204DC89DC3A29C4ACCBD524880"

===================== Suchergebnis für "badphekeihghaiffknalgfamacoedncb" ==========

====== Ende von Suche ======