Trojaner-Board - nodejs-Malware: FireHooker/DownloadProtect

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - nodejs-Malware: FireHooker/DownloadProtect (https://www.trojaner-board.de/200047-nodejs-malware-firehooker-downloadprotect.html)

Zitat:

Zitat von M-K-D-B (Beitrag 1741288)

Es wirft auf jeden Fall kein gutes Licht auf Avira... ich wünschte, es käme ein Artikel auf heise security oder so raus... :D

Kannst ja mal einen Redakteur anmailen, dass sich da ne Story anbahnt :cool:

Zitat:

Zitat von cosinus (Beitrag 1741286)

Wenn das kein Vorsatz ist, dann IMHO grobe Fahrlässigkeit falls man sich da diese Softwareupdaterkomponente von irgendwelchen anderen Firmen oder Entwicklern besorgt hat...

Aus meiner Sicht macht Vorsatz wenig Sinn: Den guten Ruf eines Produkts, das diese Jahr sowohl bei Stiftung Warentest als auch bei Chip (OK, OK, das hat wenig Gewicht) Testsieger wird, versaut man sich doch nicht mit einer illegalen Aktion. Das ist Selbstmord, das macht noch nicht mal Avira.

Grobe Fahrlässigkeit? Womöglich. Aber Avira will Geld von den Nutzern abgreifen und nicht durch mafiöse Praktiken reich werden :)

Im Moment stehe ich noch zu meiner These, dass Avira das Ding einfach zufällig seit einem Update entdeckt *g

Zitat:

Das ist Selbstmord, das macht noch nicht mal Avira.

Tjaha, glaubst du nicht was :D
Die haben ihren Ruf schon vor fast zehn Jahren selbst zerstört siehe https://www.trojaner-board.de/100374...iblue-ask.html

*nachles* OK, das ist unterirdisch. Das erklärt aber auch, warum der Wind hier im TB so gegen Avira weht.

Vor 9 Jahren war das noch anders, da hat Avira mit MKDB wohl einen treuen Kunden verloren.

Zitat:

Ich verwende selbst Avira Free seit mehr als 13 Jahren und war bisher auch voll zufrieden.

Jetzt fliegt Avira bei allen Reinigungen die ich mitgelesen habe als allererstes runter. :lach:

Ist ja nicht nur Avira. Es folgten auch AVG, Avast und Panda. Später wurde dann AVG von Avast gekauft. Wir hatten dann eigentlich nur noch diese empfohlen

- Microsoft bzw Windows Defender
- Emsisoft
- Malwarebytes

Wovon wir immer schon abgeraten hatten: irgendwelche Suites.

Kaspersky hat sich später auch disqualifiziert, die reagierten sehr dünnhäutig nach einer Empfehlung eines Mozilla-Devs, der meinte, dass die derzeitigen Virenscanner viel mehr Schaden anrichten als dass die etwas nützen und man sie deswegen alle deinstallieren sollte - bei Kaspersky war immer das Aufbrechen von SSL/TLS-Verbindungen (also die Verschlüsselung bei HTTPS ab absurdum geführt) aktiv.

Da es überhaupt keinen Sinn mehr macht, die Kohle in Virenscanner zu stecken, rate ich auch immer öfter von jeglichen fremden AVs ab. Auch ESET und GDATA, meistens seh ich eh immer nur die depperte Suite hier in den Log. Der Microsoft bzw Windows Defender läuft wesentlich besser und reibungsloser. Malwarebytes ist da noch eine Ausnahme.
Das Geld für den gesparten AV steckt man besser in Backuphardware und wenn nötig Backupsoftware wie zB drivesnapshot.

Übrigens wir hatten damals legendäre Diskussionen geführt. schrauber vs kronos-Kraktenking und purzelbär :rofl:

Natürlich war auch andere in der Diskussion dabei und mussten ihren Senf dazugeben, ziehs dir rein :applaus:

Avast 2016

Kostenlose Antivirensoftware

Windows 10 Virenschutz mit Defender

Freeware Virenschutz Programme von Qihoo, Baidu und Tencent

https://www.av-test.org/de/antivirus...ler/microsoft/

Der Kandidat hat 18 Punkte: Noch Fragen?

Registry Suche:

Zitat:

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Node.js]
"InstallPath"="C:\Program Files (x86)\nodejs\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19]
"ProductName"="Node.js"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19\InstallProperties]
"Publisher"="Node.js Foundation"

[HKEY_USERS\.DEFAULT\Software\Node.js]

[HKEY_USERS\S-1-5-21-3995867601-392258793-4093243257-1000\SOFTWARE\Node.js]

Ich glaube, ich konnte soeben den Übeltäter identifizieren: Müllsetup von audacity.de :pfui:

Dreimal dürft ihr raten, was ich für eine Infektion hatte, nachdem audacity über die audacity2-4-2.exe von audacity installiert wurde:

https://www.virustotal.com/gui/file/...d9c0/detection
https://www.virustotal.com/gui/file/...0479/detection

Code:

Task: {14480E7D-8E43-4515-AAAB-1FC06555DEA7} - System32\Tasks\Windows Offlinedateien Redirector-Treiber => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG

Task: {8B0FB464-2415-44DF-8CC6-509A58D85044} - System32\Tasks\AutomatischeKonfigurationAnwendungsinformationen => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG

Code:

 Verzeichnis von C:\Program Files (x86)\nodejs
 

07.10.2020  10:38    <DIR>          .

07.10.2020  10:38    <DIR>          ..

02.05.2017  16:07        15.017.624 node.exe

22.12.2016  18:01               702 nodevars.bat

02.05.2017  15:54             9.009 node_etw_provider.man

07.10.2020  10:36    <DIR>          node_modules

22.12.2016  18:01             4.974 node_perfctr_provider.man

16.11.2016  19:45               867 npm

16.11.2016  19:45               483 npm.cmd

               6 Datei(en),     15.033.659 Bytes

Code:

<?xml version="1.0" encoding="UTF-16"?>

<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">

  <RegistrationInfo>

    <Author>root</Author>

    <Description>Verarbeitet Anwendungskompatibilitäts-Cacheanforderungen beim Start von Anwendungen.</Description>

  </RegistrationInfo>

  <Triggers>

    <BootTrigger>

      <StartBoundary>2020-10-07T10:49:01</StartBoundary>

      <Enabled>true</Enabled>

      <Delay>PT3M</Delay>

    </BootTrigger>

    <CalendarTrigger>

      <StartBoundary>2020-10-07T10:49:01</StartBoundary>

      <Enabled>true</Enabled>

      <ScheduleByDay>

        <DaysInterval>1</DaysInterval>

      </ScheduleByDay>

    </CalendarTrigger>

  </Triggers>

  <Principals>

    <Principal id="Author">

      <UserId>S-1-5-18</UserId>

      <RunLevel>HighestAvailable</RunLevel>

      <LogonType>InteractiveToken</LogonType>

    </Principal>

  </Principals>

  <Settings>

    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>

    <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>

    <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>

    <AllowHardTerminate>true</AllowHardTerminate>

    <StartWhenAvailable>true</StartWhenAvailable>

    <RunOnlyIfNetworkAvailable>true</RunOnlyIfNetworkAvailable>

    <IdleSettings>

      <Duration>PT10M</Duration>

      <WaitTimeout>PT1H</WaitTimeout>

      <StopOnIdleEnd>true</StopOnIdleEnd>

      <RestartOnIdle>false</RestartOnIdle>

    </IdleSettings>

    <AllowStartOnDemand>true</AllowStartOnDemand>

    <Enabled>true</Enabled>

    <Hidden>true</Hidden>

    <RunOnlyIfIdle>false</RunOnlyIfIdle>

    <WakeToRun>false</WakeToRun>

    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>

    <Priority>7</Priority>

    <RestartOnFailure>

      <Interval>PT3M</Interval>

      <Count>5</Count>

    </RestartOnFailure>

  </Settings>

  <Actions Context="Author">

    <Exec>

      <Command>"C:\Program Files (x86)\nodejs\node.exe"</Command>

      <Arguments>"C:\ProgramData\Package Cache\{91C45BC0-5946-438D-A032-C7B98109067C}\{48AC82DE-1374-4BA0-81F4-0422B6969F55}"</Arguments>

    </Exec>

  </Actions>

</Task>

Code:

<?xml version="1.0" encoding="UTF-16"?>

<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">

  <RegistrationInfo>

    <Author>SYSTEM</Author>

    <Description>Der Diagnoserichtliniendienst ermöglicht die Problemerkennung,  Problembehandlung und Lösung für Windows-Komponenten. Wenn dieser Dienst beendet wird, funktioniert die Diagnose nicht mehr.</Description>

  </RegistrationInfo>

  <Triggers>

    <BootTrigger>

      <StartBoundary>2020-10-07T10:49:26</StartBoundary>

      <Enabled>true</Enabled>

      <Delay>PT3M</Delay>

    </BootTrigger>

    <CalendarTrigger>

      <StartBoundary>2020-10-07T10:49:26</StartBoundary>

      <Enabled>true</Enabled>

      <ScheduleByDay>

        <DaysInterval>1</DaysInterval>

      </ScheduleByDay>

    </CalendarTrigger>

  </Triggers>

  <Principals>

    <Principal id="Author">

      <RunLevel>HighestAvailable</RunLevel>

      <UserId>SYSTEM</UserId>

    </Principal>

  </Principals>

  <Settings>

    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>

    <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>

    <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>

    <AllowHardTerminate>true</AllowHardTerminate>

    <StartWhenAvailable>true</StartWhenAvailable>

    <RunOnlyIfNetworkAvailable>true</RunOnlyIfNetworkAvailable>

    <IdleSettings>

      <Duration>PT10M</Duration>

      <WaitTimeout>PT1H</WaitTimeout>

      <StopOnIdleEnd>true</StopOnIdleEnd>

      <RestartOnIdle>false</RestartOnIdle>

    </IdleSettings>

    <AllowStartOnDemand>true</AllowStartOnDemand>

    <Enabled>true</Enabled>

    <Hidden>true</Hidden>

    <RunOnlyIfIdle>false</RunOnlyIfIdle>

    <WakeToRun>false</WakeToRun>

    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>

    <Priority>7</Priority>

    <RestartOnFailure>

      <Interval>PT1M</Interval>

      <Count>5</Count>

    </RestartOnFailure>

  </Settings>

  <Actions Context="Author">

    <Exec>

      <Command>C:\Program Files (x86)\nodejs\node.exe</Command>

      <Arguments>C:\Windows\Installer\{BF342F7F-DB67-4B9B-88D1-D5880C8C075F}\{AED9FBB5-78A6-4F5A-B9D5-64515310E7E7}</Arguments>

    </Exec>

  </Actions>

</Task>

Bei mir lässt der Virenschutz den Download von audacity auf deren Homepage nicht zu: https://abload.de/thumb/unbenanntt2jjg.jpg

Dafür braucht man aber keinen Bloat von F-Secure. Das Firefox Addon uBlock Origin blockt sowas wie vlc.de und audacity auch :)

Dafür braucht´s kein Virenverhüterli:

Zitat:

uBlock Origin hat das Laden der folgenden Seite verhindert:

h**ps://www.audacity.de/

PS: @cosinus warst schneller :daumenhoc

Zitat:

Zitat von cosinus (Beitrag 1741418)

Dafür braucht man aber keinen Bloat von F-Secure. Das Firefox Addon uBlock Origin blockt sowas wie vlc.de und audacity auch :)

F-Secure ist nun wirklich nicht notwendig. :stirn:

uBlock origin genügt, um nicht auf die Seite zu kommen. Nicht umsonst empfehlen wir dieses Add-on schon länger.

Der Microsoft Defender (Windows Defender) mit aktiviertem PUP-Schutz schnappt sich auch die Installationsdatei, sobald man sie heruntergeladen hat. :D
Also auch wenn jemand nicht uBlock origin nutzt, wird er durch Microsoft Defender (Windows Defender) geschützt. ;)

MBAM reagiert nun auch langsam:

Zitat:

-Einzelheiten zu blockierten Websites-
Bösartige Website: 1
, C:\Program Files (x86)\nodejs\node.exe, Blockiert, -1, -1, 0.0.0, ,

-Website-Daten-
Kategorie: Trojaner
Domäne: de.mynodejs.net
IP-Adresse: 104.18.42.96
Port: 80
Typ: Ausgehend
Datei: C:\Program Files (x86)\nodejs\node.exe

https://www.2-spyware.com/remove-tra...hooker-bu.html

Zitat:

Since the one of the TR/AD.FireHooker.BU samples was found on a fake Audacity audio app website, many German users infected with this malware, believing that the it is legitimate program installer.

Das einzige Tool, das diese Malware seit Beginn des neuen "Ausbruchs" auflistet, ist FRST. :D
Ich hatte den Task damals (Anfang 2019) gemeldet, als es mir aufgefallen war. :party:
Ich muss mal farbar ansprechen, ob er uns die Argument-Zeile aus dem Task auch noch auslesen kann...

Andererseits will ich mir gar nicht ausmalen, wie viele Hunderte/Tausende deutsche Nutzer sich mit dieser infizierten audacity.exe Malware auf den PC geholt haben und bis jetzt nichts davon wissen... :glaskugel: