Trojaner-Board - BKA Trojaner Funktionsweise

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - BKA Trojaner Funktionsweise (https://www.trojaner-board.de/105725-bka-trojaner-funktionsweise.html)

Zitat:

Zitat von Cnork (Beitrag 733668)

Ihr nehmt das tatsächlich sehr genau hier, entschuldigt bitte meine Ungenauigkeit.

Gerade bei Malware kommt es oft genau darauf an. Es ist eben ein Unterschied, ob es z.B. svchost oder scvhost heißt. :kaffee:

Es gibt übrigens auch Unterschiede zwischen Virenprogramm und Antivirenprogramm.

Zitat:

Zitat von Cnork (Beitrag 733668)

Warum ich mir sicher bin: Ich war am browsen und bin auf eine Seite gekommen auf der sich ein JavaScript befand. Dieses hat sich ganz normal geladen, dann hat es "Error" ausgegeben. Zeitgleich traten eben die Phänomene auf, die mein Vorposter geschildert hatte, die Benutzeroberfläche von Win7 (explorer.exe) hat sich beendet (und der Taskmanager wurde deaktiviert). Zu diesem Zeitpunkt war es 17:18Uhr. Als ich dann via cmd.exe meine Benutzeroberfläche wieder soweit hatte und mich nach der Ursache umgeschaut habe bin ich auf die 0.9702746935792479.exe gestoßen, letztes Änderungsdatum 18:18Uhr, ein Suchlauf mit meinem Virenprogramm hat außerdem zwei Dateien als "hochgefährliche" Malware eingestuft, beide befanden sich im Java-Cache des Webbrowsers, letzte Änderung war 18:18Uhr. Natürlich kann die Infektion trotzdem anders erfolgt sein, aber es spricht schon eine Menge dafür das es über den JavaScript dazu kam.

Erklär mal was ein Java-Cache mit JavaScript zu tun hat.
Sprichst du vom Browser-Cache oder vom Java-Cache?

Zitat:

Zitat von Cnork (Beitrag 733668)

Der Unterschied ist mir wohl bewusst

(Wegen Java vs. JavaScript) Bist du sicher?
Natürlich wäre es möglich, dass unabhängig von einander zufällig auch ein JavaScript lief oder in Addition JavaScript und Java gemeinsam zum Einsatz und zum Ziel (Infektion deines Systems) kommen.

Richtig richtig, im IT-Bereich darf es nicht an Genauigkeit mangeln, da ich noch ein relativer Noob bin wird es wohl noch dauern bis ich mich Eurem Niveau anpassen kann, wie mit dem Virenprogramm, da bin ich schön ins Fettnäpfchen getreten. Ich meinte natürlich ein Antivierenprogramm.

Ich spreche vom Java-Cache von Java SDK. Das man über Java-Script in der Regel nicht auf die Java-Programme des PC´s zugreifen kann weiß ich, mit Trojanern/Vieren kenne ich mich allerdings nicht aus bzw. wie viel mit JavaScript möglich ist wenn es dazu ausgelegt ist den PC-zu infizieren.

Zitat:

Natürlich wäre es möglich, dass unabhängig von einander zufällig auch ein JavaScript lief oder in Addition JavaScript und Java gemeinsam zum Einsatz und zum Ziel (Infektion deines Systems) kommen.

Dazu falls es hilft: Java ist bei mir im Autostart, läuft also immer, allerdings nur das JRE, nicht Java SDK in dessen Cache sich die als "Bedrohung" eingestuften Dateien befanden.

Gruß

Zitat:

Zitat von DV-Opa (Beitrag 733704)

Hallo zusammen,

wenn wir wirklich rausbekommen wollen, wie der BKA/Ukash/Gema-Trojaner funktioniert, müssen wir dem genau nachgehen, was mightym8 und Cnork hier schreiben.

Dass die neueren Versionen des Trojaners versuchen, den Start des Taskmanagers zu verhindern, erscheint mir plausibel, da man zuvor (als ich selbst betroffen war) ja durch einen geschickten Start des Taskmanagers und danach des Explorers, in der Lage war, sich selbst aus der Trojanerumklammerung zu befreien.

Sehr interessant ist, wie im letzten Beitrag beschrieben wird, wie das Skript (?) die Infektion herbeigeführt hat. Was mich erstaunt, denn bei diesen Trojanern wird in den Foren berichtet, dass sie sich über Tage und Wochen "schlafen" legen können, bevor sie aktiv werden.

Der pauschale Rat, das gesamte System neu aufzusetzen, um wieder einen sauberen PC zu haben, greift doch zu kurz und verursacht für viele einen gewaltigen (unnötigen ?) Aufwand. Also bleibt dran, auch wenn der Erfolg nicht gesichert ist !

Gruß DV-Opa

Auch fände ich interessant, wie die Windows-Rechner konfiguriert waren bei der Infektion.

Bei mir ist es mit XP mit eingeschränktem Konto folgendermaßen abgelaufen:

Im Firefox8 gingen ca 5 neue Tabs auf. Oft erscheinen dann beim Schließen Javascript Pop-Ups die Fragen "Wollen Sie wirklich diese Seite verlassen?".
Mein Pop-Up sah aber anders aus als die grauen Windows-Fenster, es war nämlich pastellfarben was ich im nachhinein als Java-Programm, nicht als Javascript deute?!

Ich konnte mit einer anderen Windowspartition starten, habe nach den neuesten .exe Dateien gesucht und diese gekillt nachdem ich vorher diese zum prüfen ins Internet geladen hatte. Nur 2 von 20 Online-Virenscannern haben den Trojaner erkannt.

Nach dem Neustart habe ich noch den Run-Eintrag in der Registrierung des Benutzers entfernt.

Bei einem Kollegen habe ich auch die .exe und einen Eintrag im Autostart gefunden.

Ich habe *nicht* neu installiert und beobachte weiter.

Wie gesagt, ich glaube nicht, dass alle Malware, die sich so zeigt, auch identisch primitiv läuft (wenn sie schon installiert ist)

Zitat:

Zitat von mlebek (Beitrag 737016)

Ich konnte mit einer anderen Windowspartition starten, habe nach den neuesten .exe Dateien gesucht

AFAIK (zumindest bei einigen Varianten!) tut es der abgesicherte Modus auch und ein Blick in die Autostartdateien. Ist wie bei Malware von vor 10 Jahren - deshalb trau ich dem Zeug nicht ganz. :pfeiff: