nodejs-Malware: FireHooker/DownloadProtect

webwatcher · 03.10.2020, 09:40

TR/AD.FireHooker.BU Epidemie?
In 2 Tagen 7 mal aufgeschlagen, die letzte Meldung davor stammt von Mai 2019
2015 gab es auch mehrere von Meldungen

stefanbecker · 03.10.2020, 13:59

Und alle haben Avira. Schon seltsam. Scheint eher ein Avira-Problem zu sein.

webwatcher · 03.10.2020, 15:21

Zitat:

Zitat von stefanbecker

Und alle haben Avira. Schon seltsam. Scheint eher ein Avira-Problem zu sein.

Seit 2015 auch gehäuft und später immer auschließlich Meldung von Avira
https://www.trojaner-board.de/174101...-gefunden.html

stefanbecker · 03.10.2020, 15:46

Einen Grund mehr das nicht mehr zu nutzen.

cosinus · 03.10.2020, 16:22

Zitat:

Zitat von webwatcher

TR/AD.FireHooker.BU Epidemie?
In 2 Tagen 7 mal aufgeschlagen, die letzte Meldung davor stammt von Mai 2019
2015 gab es auch mehrere von Meldungen

Ist schon auffällig, dass alle mit diesem Fake-Nodejs Avira verwenden

Komischerweise erkennt Avira immer nur einen Müll in tmp, aber bisher nicht den Task-Eintrag wie zB

Code:

ATTFilter

Task: {FB9FCD3E-42B0-463A-9EED-017D9AECAEFF} - System32\Tasks\IKE- Windows Dienst => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG

cosinus · 03.10.2020, 16:29

In diesem Thread gibt sich der nodejs Müll als etwas von NVIDIA aus

Code:

ATTFilter

Task: {08271906-0943-4415-BF35-68A5C1EFA5B1} - System32\Tasks\NVIDIA Shared Holographic => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG

Mal sehen was die Auswertung sagt, welche AVs diesen Müll erkennen und welche nicht

M-K-D-B · 03.10.2020, 16:53

Das Auslesen eines dieser Adware-Tasks in diesem Thema zeigt an, dass sich Argumente im "Package Cache" Ordner aufhalten:

Zitat:

<Command>"C:\Program Files (x86)\nodejs\node.exe"</Command>
<Arguments>"C:\ProgramData\Package Cache\{15B7DD91-4D1D-4D2E-B9E0-E319C6350597}\{064C03E4-DFA8-4F01-8ED8-29BE7F03A8AD}"</Arguments>

In einigen dieser Themen findet sich auch die Adware DownloadProtect, welche sich vor ein paar Jahren im deutschsprachtigen Raum ausbreitete.

Ein Beispiel von DownloadProtect unter FF in einem dieser aktuellen Themen:

Zitat:

FF HKLM\...\Firefox\Extensions: [{D0D49F23-6E93-41A8-B019-7F1162672FE6}] - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi
C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}
FF Extension: ( ) - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi [2020-10-01]
FF HKLM-x32\...\Firefox\Extensions: [{D0D49F23-6E93-41A8-B019-7F1162672FE6}] - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi

M-K-D-B · 03.10.2020, 16:56

In diesem Thema verascht die Adware scheinbar das installierte Avira selbst:

Zitat:

Task: {A56AC1F8-ABED-46D0-8679-76754ABCFB79} - System32\Tasks\USB Distributed Avira => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG

Schon irgendwie peinlich für Avira... deutsche Adware wird von einem deutschen Sicherheitsunternehmen, das sich für so gut hält, nicht erkannt.

cosinus · 03.10.2020, 16:57

hrhrhrhr der ist ja goil!

M-K-D-B · 03.10.2020, 17:00

Vielleicht gehören diese nodejs-Adware und DownloadProtect zusammen und letzteres wird im Hintergrund heruntergeladen...

Mal sehen, ob das zu einer neuen Plage wird...

cosinus · 03.10.2020, 17:07

Oder das ist Bestandteil von Avira (weil alle die das haben ja auch Avira nutzen) als heimlicher askbar Ersatz

M-K-D-B · 03.10.2020, 17:09

Zitat:

Zitat von cosinus

Oder das ist Bestandteil von Avira (weil alle die das haben ja auch Avira nutzen) als heimlicher askbar Ersatz

Avira scheint zumindest das einzige AV zu sein, dass temporäre .exe Dateien, welche die Adware erzeugt, zu erkennen.

Edit:
Ich lass ab sofort immer die TASK-Datei mit CMD auslesen, um an den Pfad der Argumente zu kommen... gleichzeitig lass ich den Package Cache Ordner auslesen...

cosinus · 03.10.2020, 17:11

D.h. Avira ist momentan das einzige AV, dass diesen Mist (teilweise) erkennt?

Alle anderen erkennen garnichts davon?

M-K-D-B · 03.10.2020, 17:12

Zitat:

Zitat von cosinus

D.h. Avira ist momentan das einzige AV, dass diesen Mist (teilweise) erkennt?

Alle anderen erkennen garnichts davon?

Ich denke nicht.

Du darfst mich aber gerne korrigieren (mit Beleg natürlich).

cosinus · 03.10.2020, 17:18

Naja, ist die Frage warum ALLE mit diesem Problem Avira installiert haben.

Möglichkeit 1: nur Avira erkennt den Mist, daher schlagen Leute mit anderen AV hier im TB nicht auf obwohl sie den Mist auch drauf haben
Möglichkeit 2: der Mist ist nur auf Maschinen drauf, wo auch Avira drauf ist, weil Avira das heimlich selbst installiert
Möglichkeit 3: nur Avira erkennt diesen Mist nicht, andere AV haben ihn vor der Infektion schon erkannt

03.10.2020, 16:57	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	nodejs-Malware: FireHooker/DownloadProtect hrhrhrhr der ist ja goil! __________________ Logfiles bitte immer in CODE-Tags posten

03.10.2020, 17:00	#10
M-K-D-B /// TB-Ausbilder	nodejs-Malware: FireHooker/DownloadProtect Vielleicht gehören diese nodejs-Adware und DownloadProtect zusammen und letzteres wird im Hintergrund heruntergeladen... Mal sehen, ob das zu einer neuen Plage wird...

03.10.2020, 17:07	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	nodejs-Malware: FireHooker/DownloadProtect Oder das ist Bestandteil von Avira (weil alle die das haben ja auch Avira nutzen) als heimlicher askbar Ersatz __________________ Logfiles bitte immer in CODE-Tags posten

03.10.2020, 17:11	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	nodejs-Malware: FireHooker/DownloadProtect D.h. Avira ist momentan das einzige AV, dass diesen Mist (teilweise) erkennt? Alle anderen erkennen garnichts davon? __________________ Logfiles bitte immer in CODE-Tags posten

nodejs-Malware: FireHooker/DownloadProtect

Diskussionsforum: nodejs-Malware: FireHooker/DownloadProtect