Trojaner-Board
Seite 2 von 9 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   nodejs-Malware: FireHooker/DownloadProtect (https://www.trojaner-board.de/200047-nodejs-malware-firehooker-downloadprotect.html)

webwatcher 03.10.2020 17:38
https://en.wikipedia.org/wiki/Trojan.Win32.FireHooker
Zitat:
Trojan.Win32.FireHooker or Trojan:Win32/FireHooker is the definition (from Kaspersky Labs) of a Trojan downloader, Trojan dropper, or Trojan spy created for the Windows platform. [1] Its first known detection goes back to September, 2015, according to the AVV Trend Micro.
Defender und andere AV haben dazu keine Meinung.
Das aktuelle gleichzeitige Auftreten hat vermutlich mit irgendeinem Ups was tun....

https://www.trojaner-board.de/200031...ml#post1740919
Zitat:
Zitat von rkunde
Ich habe heute mit Avira Software-Updater alles aktualisiert
false positive ....

M-K-D-B 04.10.2020 07:38
Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.

Ich habe Möglichkeit 1 im Verdacht...

Und nur weil VT bei der .exe nichts anzeigt, heißt das nicht zwingend, dass die Datei legitim ist bzw. dass sie nicht für etwas missbraucht wird.

M-K-D-B 04.10.2020 11:13
Der zufällige Taskname (meist ein zusammengesetzter Name von Windows-Diensten oder Teilen davon) ist absolut nicht typisch für legitime Software, sondern spricht auch für Adware/PUP... es kann sein, dass die .exe gutartig ist, aber der Task mit den Argumenten ist es definitiv nicht... daher wird das weiter gelöscht. :D

Edit:
Ich lass mir ab sofort auch einen Export vom Order anzeigen... evtl. gibt es noch andere Komponenten in dem Ordner, die schädlich sind... vielleicht kann man so die Schadkomponente eingrenzen.

webwatcher 04.10.2020 11:35
Läuft wohl unter verschiedensten Aliassen:

https://www.virustotal.com/gui/file/...ad91/detection

cosinus 04.10.2020 20:51
Zitat:
Zitat von M-K-D-B (Beitrag 1740993)
Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.
Hab heute auch eine Auswertung machen lassen siehe https://www.trojaner-board.de/200040...ml#post1741089

edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben :wtf::confused:

Auswertung bei VT ist echt mies :balla: --> https://www.virustotal.com/gui/file/...08ae51/details

M-K-D-B 04.10.2020 20:56
Aus diesem Thema:

Zitat:
<Command>C:\Program Files (x86)\nodejs\node.exe</Command>
<Arguments>C:\WINDOWS\Installer\{8E2EC350-56EF-4F2D-9BBC-958DE58DA64F}\{CEFCDC5A-D8C1-45EB-B191-896048718E4C}</Arguments>
Dieser Pfad deutet für mich sehr start auf DownloadProtect hin...


Schau mal Arne, diese FF-Einträge von DownloadProtect sehen ähnlich aus... vergiss sie bitte nicht:
Zitat:
FF HKLM\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi [2020-10-04]
FF HKLM-x32\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi

M-K-D-B 04.10.2020 20:59
Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link.

cosinus 04.10.2020 21:01
Ja...ich versuch dran zu denken...:pfeiff:..

M-K-D-B 04.10.2020 21:02
Gibt es einen Decoder für sowas?
Zitat:
/*e0JCNjUwMTNFLTRCNEMtNDQ0My04RkExLTU0NkE1OTRCMUMwQX18MS4wLjM=*/var _0x666d=['V0NX','dW5saW5rU3luYw\x3d (...)

M-K-D-B 04.10.2020 21:08
Und in mind. jedem zweiten Thema ist die Adware DownloadProtect auf dem System... du kannst sagen, was du willst... dieser Mist gehört doch zusammen. :lach: :rofl:

Echt ausgeklügelt diese Adware... aber nicht gut genug für uns. :snyper:
:cool:

cosinus 04.10.2020 21:08
Das sieht nach base64 aus...probier mal dort --> https://www.base64decode.org/

M-K-D-B 04.10.2020 21:12
Schon probiert... da kommt nur Müll bei mir raus... :lach:

cosinus 04.10.2020 21:14
Naja, ein paar Brocken kann ich dann entziffern wie zB

{557DCE9A-B3ED-4D13-BA7B-89F4157E75C9}|1.0.3
SArmdir outputquerystring1
npm.cmd
readFileSyncbkthGflastIndexOf1
base64utf-81֤6ִ
slice1VdDUD5$TT

M-K-D-B 04.10.2020 21:16
Ich taufe diese Adware jetzt mal für mich "DownladProtect_verwandt" (solange ich nix besseres finde)... :rofl:

M-K-D-B 04.10.2020 21:18
Zitat:
Zitat von cosinus (Beitrag 1741106)
edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben :wtf::confused:
So ist es... die "" braucht man nur für CMD-Befehle... ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:37 Uhr.
Seite 2 von 9 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19