Inzwischen sind fast 20 mit demselben Problem aufgetaucht und es dürfte nur die Spitze des Eisberg sein, da viele durch Lesen der Infos/Threads sich selber helfen können.

Frage ist, warum diese Verseuchung so plötzlich aufgetaucht ist, denn der Müll wurde schon vorher/früher jahrelang runtergeladen z.T. auch mit sichtbaren Folgen, aber das ist schon etwas her. Möglicherweise hat man am "Beipack" gebastelt.

Zitat:

Zitat von webwatcher

Inzwischen sind fast 20 mit demselben Problem aufgetaucht und es dürfte nur die Spitze des Eisberg sein, da viele durch Lesen der Infos/Threads sich selber helfen können.

Klar ist das nur die Spitze des Eisbergs... du kannst von Hunderten/Tausenden infizierten Rechnern in Deutschland ausgehen... vielleicht auch mehr.

Zitat:

Zitat von webwatcher

Frage ist, warum diese Verseuchung so plötzlich aufgetaucht ist, denn der Müll wurde schon vorher/früher jahrelang runtergeladen z.T. auch mit sichtbaren Folgen, aber das ist schon etwas her. Möglicherweise hat man am "Beipack" gebastelt.

Diese Malware gibt es schon länger... die Nutzer, die bei uns aufgeschlagen sind, sind ja nicht direkt/speziell wegen dieser Malware hier, also weil ein AV den Ursprung moniert und nicht entfernen kann, sondern weil ein AV lediglich im temporären Ordner eine schadhafte .exe registriert hat.
Und wenn ein AV gar nichts moniert, denken die meisten Menschen, dass der Rechner sauber sein muss.

Im Prinzip ist die Malware ja gut gemacht. Es wird ein Task erstellt, dazu werden zum Beispiel Teile von Windows-Diensten/Prozessen bzw. deren Beschreibungen oder bekannte legitime Namen von Software-Firmen als Name verwendet, um nicht aufzufallen. Dann lenkt man den Task auf eine legitime .exe, die bei VT immer als clean zurückkommt. Im Task gibt man dann aber als Argument ein, dass eine Javascript-Datei schadhaften Code ausführen soll.

Intelligent gemacht... ähnlich klug wie die Malware Mediyes damals.

Laut virustotal läuft er bei M$ unter dem Alias Trojan:Win32/Occamy.AB

https://www.microsoft.com/en-us/wdsi...tID=2147755095

Zitat:

published May 15, 2020 | Updated
Trojan:Win32/Occamy.AB
Detected by Microsoft Defender Antivirus
Windows Defender Antivirus detects and removes this threat.
This threat can perform a number of actions of a malicious hacker's choice on your PC.

Es könnte sein. dass die User, die nur auf Defender setzen, gar nichts oder nur wenig davon gemerkt haben.

Vielleicht ist es auch genau die Malware, die hier beschrieben wird:
Nodersok: Microsoft warnt vor neuer Malware, die Web-App-Technologie nutzt

Und scheinbar wars das dann auch schon wieder mit Themen diesbezüglich...
Vielleicht haben die Malware-Autoren eine kleine Änderung vorgenommen und die Antivirenprogramme finden nichts mehr... wirklich viel haben sie ja sowieso nicht gefunden.
Dann kann die Malware wieder weiter unbemerkt im Hintergrund arbeiten.

Das Thema Firehooker scheint ausgestanden zu sein. Vielleicht noch ein paar Nachzügler.

Mal sehen, ob das ein neuer Kandidat ist: Misleading:Win32/Lodi Virus

in diesem Zusammenhang hab ich mal bei M$ gestöbert:
https://www.microsoft.com/en-us/wdsi...hreatID=268893

Zitat:

Misleading:Win32/Lodi!MTB
Detected by Microsoft Defender Antivirus

https://support.microsoft.com/en-us/...infect-your-pc

Zitat:

How malware can infect your PC
Applies to: SecurityWindows
These are some of the most common ways that your devices can get infected with malware.

https://support.microsoft.com/en-us/help/4562299

Zitat:

Protect your PC from potentially unwanted applications

Zitat:

Um die potenziell unerwünschte App-Blockierung zu aktivieren, gehen Sie zu Start> Einstellungen> Update & Sicherheit> Windows-Sicherheit> App- und Browsersteuerung> Zuverlässigkeitsbasierter > Schutz > Potentiell unerwünschte Apps werden blockiert

Gibt es Erfahrungen über Handhabung und Zuverlässigkeit? nach welchen Kriterien wird blockiert?

Zitat:

Zitat von M-K-D-B

Dann kann die Malware wieder weiter unbemerkt im Hintergrund arbeiten.

Naja, der Trick mit der node.exe als Task ist ja entlarvt. Fragt sich was die sich noch ausdenken bzw was noch alles lauffähig ist ohne node.exe bzw wenn man diesen ominösen Ordner in %windir%\installer oder %windir%\packages löscht.

Zitat:

Zitat von cosinus

Naja, der Trick mit der node.exe als Task ist ja entlarvt. Fragt sich was die sich noch ausdenken bzw was noch alles lauffähig ist ohne node.exe bzw wenn man diesen ominösen Ordner in %windir%\installer oder %windir%\packages löscht.

Und du denkst, nur weil wir diesen Trick entlarvt haben, hören die damit auf? Es ist unwahrscheinlich, dass die Malware-Autoren in Foren mitlesen und merken... oh, die haben unsere Malware enttarnt, wir müssen was ändern. Die interessieren sich nur dafür, ob ihre Malware von AV-Programmen erkannt werden, weil sie genau wissen, dass sich fast alle Menschen blind auf diese Tools verlassen.

Die meisten/fast alle/falle AV-Hersteller haben diese Malware doch gar nicht auf dem Schirm. Wer erkennt denn diese Malware richtig/vollständig, sobald sie auf einem System ist?

Zitat:

Zitat von M-K-D-B

Und du denkst, nur weil wir diesen Trick entlarvt haben, hören die damit auf?

Nö, das hab ich ja nichtmal zwischen den Zeilen geschrieben

Zitat:

Zitat von M-K-D-B

Es ist unwahrscheinlich, dass die Malware-Autoren in Foren mitlesen und merken...

Also hier lesen bestimmt so einige mit, wenn auch keine ausländischen Cracker

Zitat:

Zitat von M-K-D-B

oh, die haben unsere Malware enttarnt, wir müssen was ändern.
Die interessieren sich nur dafür, ob ihre Malware von AV-Programmen erkannt werden, weil sie genau wissen, dass sich fast alle Menschen blind auf diese Tools verlassen.

Also irgendwann werden die garantiert was ändern. Spätestens dann, wenn mehr AVP das Argument für die node.exe erkennen. Mir geht das auch etwas zu einfach mit den Browser-Addons, zeigt denn kein Browser mehr an, dass sich da seit dem letzten Start was verändert hat?

Zitat:

Zitat von M-K-D-B

Die meisten/fast alle/falle AV-Hersteller haben diese Malware doch gar nicht auf dem Schirm. Wer erkennt denn diese Malware richtig/vollständig, sobald sie auf einem System ist?

Vllt wird es mal wieder Zeit, die AV-Labs direkt anzuschreiben, früher hatten wir das noch gemacht.

So, nochmal nachgeschaut, was mit der der Datei (siehe Beitrag #20), die zuerst am 4. Oktober ausgewertet wurde, nun erkennen 19 Scanner da was

Aber was nützt wenn dieser JavaScript auf jeder Maschine anders verschleiert ist...

Das Fazit ist wiedermal. Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker.....

Zitat:

Zitat von Darklord666

Das Fazit ist wiedermal. Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker.....

Ublock origin warnt vor audacity.de. Wer nichts dergleichen nutzt, dem fehlt dieser erste proaktive Schutz, genau.
Nicht umsonst empfehlen wir dieses Add-on schon länger. Es hat sich schon mehrfach gezeigt, dass "ublock origin" dem Add-on "Adblock Plus" überlegen ist.

Zitat:

Zitat von Darklord666

Das Fazit ist wiedermal. Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker.....

Das hat doch nichts damit zun, JavaScript oder anderen Krempel im Browser zu blockieren. Diese JavaScript-Malware wird nicht im Browser ausgeführt, was meinst du wohl wofür die node.exe da ist

Zitat:

Zitat von cosinus

Das hat doch nichts damit zun, JavaScript oder anderen Krempel im Browser zu blockieren. Diese JavaScript-Malware wird nicht im Browser ausgeführt, was meinst du wohl wofür die node.exe da ist

HÄ? Steht doch in dem Beitrag das Ad-/Skriptblocker nutzen.

"Ausgangspunkt der Infektion soll dabei eine HTA-Datei, also eine ausführbare HTML-Datei, sein, die Nutzer etwa per Klick auf einer entsprechend präparierten Website herunterladen oder über eine Schadwerbung eingespielt bekommen. Diese beinhaltet verschlüsselte Skripte, die auf der Powershell, mit VBA und mit JavaScript arbeiten. Auf der Ebene der Powershell, also auf der Kommandozeile, versucht das Skript zunächst, den Windows Defender abzuschalten, um die weiteren Schritte ungestört gehen zu können."

Also jetzt kommt irgendwie alles durcheinander

Die Infektion mit nodejs und dem Argument in C:\Packages\... erfolgte ja über ein manipuliertes audacity-setup von der Arschlochseite audacity.de - da hilft ja kein Scriptblocker. Denn das Setup wird nicht vom Browser ausgeführt

Eigentlich ist das auch ein Unding, dass einfach so Software installiert wird, nur weil man mit dem Browser irgendwas ansurft. Wie soll die Malware denn nach C:\Programme und C:\Windows etwas schreiben? Das geht doch nur mit Adminrechten. Was hilft denn da ein Scriptblocker wenn der user eh alles durchwinkt?