Trojaner-Board
Seite 1 von 9 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   nodejs-Malware: FireHooker/DownloadProtect (https://www.trojaner-board.de/200047-nodejs-malware-firehooker-downloadprotect.html)

webwatcher 03.10.2020 09:40
nodejs-Malware: FireHooker/DownloadProtect
 
TR/AD.FireHooker.BU Epidemie?
In 2 Tagen 7 mal aufgeschlagen, die letzte Meldung davor stammt von Mai 2019
2015 gab es auch mehrere von Meldungen

stefanbecker 03.10.2020 13:59
Und alle haben Avira. Schon seltsam. Scheint eher ein Avira-Problem zu sein.

webwatcher 03.10.2020 15:21
Zitat:
Zitat von stefanbecker (Beitrag 1740864)
Und alle haben Avira. Schon seltsam. Scheint eher ein Avira-Problem zu sein.
Seit 2015 auch gehäuft und später immer auschließlich Meldung von Avira
https://www.trojaner-board.de/174101...-gefunden.html

stefanbecker 03.10.2020 15:46
Einen Grund mehr das nicht mehr zu nutzen.

cosinus 03.10.2020 16:22
Zitat:
Zitat von webwatcher (Beitrag 1740843)
TR/AD.FireHooker.BU Epidemie?
In 2 Tagen 7 mal aufgeschlagen, die letzte Meldung davor stammt von Mai 2019
2015 gab es auch mehrere von Meldungen
Ist schon auffällig, dass alle mit diesem Fake-Nodejs Avira verwenden :wtf: :balla:
Komischerweise erkennt Avira immer nur einen Müll in tmp, aber bisher nicht den Task-Eintrag wie zB
Code:
Task: {FB9FCD3E-42B0-463A-9EED-017D9AECAEFF} - System32\Tasks\IKE- Windows Dienst => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG

cosinus 03.10.2020 16:29
In diesem Thread gibt sich der nodejs Müll als etwas von NVIDIA aus :rofl:

Code:
Task: {08271906-0943-4415-BF35-68A5C1EFA5B1} - System32\Tasks\NVIDIA Shared Holographic => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
Mal sehen was die Auswertung sagt, welche AVs diesen Müll erkennen und welche nicht :pfeiff:

M-K-D-B 03.10.2020 16:53
Das Auslesen eines dieser Adware-Tasks in diesem Thema zeigt an, dass sich Argumente im "Package Cache" Ordner aufhalten:
Zitat:
<Command>"C:\Program Files (x86)\nodejs\node.exe"</Command>
<Arguments>"C:\ProgramData\Package Cache\{15B7DD91-4D1D-4D2E-B9E0-E319C6350597}\{064C03E4-DFA8-4F01-8ED8-29BE7F03A8AD}"</Arguments>

In einigen dieser Themen findet sich auch die Adware DownloadProtect, welche sich vor ein paar Jahren im deutschsprachtigen Raum ausbreitete.

Ein Beispiel von DownloadProtect unter FF in einem dieser aktuellen Themen:
Zitat:
FF HKLM\...\Firefox\Extensions: [{D0D49F23-6E93-41A8-B019-7F1162672FE6}] - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi
C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}
FF Extension: ( ) - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi [2020-10-01]
FF HKLM-x32\...\Firefox\Extensions: [{D0D49F23-6E93-41A8-B019-7F1162672FE6}] - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi

M-K-D-B 03.10.2020 16:56
In diesem Thema verascht die Adware scheinbar das installierte Avira selbst:
Zitat:
Task: {A56AC1F8-ABED-46D0-8679-76754ABCFB79} - System32\Tasks\USB Distributed Avira => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
:uglyhammer::uglyhammer::uglyhammer:


Schon irgendwie peinlich für Avira... deutsche Adware wird von einem deutschen Sicherheitsunternehmen, das sich für so gut hält, nicht erkannt. :D

cosinus 03.10.2020 16:57
hrhrhrhr der ist ja goil! :lach: :rofl:

M-K-D-B 03.10.2020 17:00
Vielleicht gehören diese nodejs-Adware und DownloadProtect zusammen und letzteres wird im Hintergrund heruntergeladen... :lach:

Mal sehen, ob das zu einer neuen Plage wird... :aufsmaul:

cosinus 03.10.2020 17:07
Oder das ist Bestandteil von Avira (weil alle die das haben ja auch Avira nutzen) als heimlicher askbar Ersatz

M-K-D-B 03.10.2020 17:09
Zitat:
Zitat von cosinus (Beitrag 1740903)
Oder das ist Bestandteil von Avira (weil alle die das haben ja auch Avira nutzen) als heimlicher askbar Ersatz
:uglyhammer::uglyhammer::uglyhammer::uglyhammer:

Avira scheint zumindest das einzige AV zu sein, dass temporäre .exe Dateien, welche die Adware erzeugt, zu erkennen. :)



Edit:
Ich lass ab sofort immer die TASK-Datei mit CMD auslesen, um an den Pfad der Argumente zu kommen... gleichzeitig lass ich den Package Cache Ordner auslesen... :D

cosinus 03.10.2020 17:11
D.h. Avira ist momentan das einzige AV, dass diesen Mist (teilweise) erkennt? :wtf:
Alle anderen erkennen garnichts davon?

M-K-D-B 03.10.2020 17:12
Zitat:
Zitat von cosinus (Beitrag 1740906)
D.h. Avira ist momentan das einzige AV, dass diesen Mist (teilweise) erkennt? :wtf:
Alle anderen erkennen garnichts davon?
Ich denke nicht. :)
Du darfst mich aber gerne korrigieren (mit Beleg natürlich). :lach:

cosinus 03.10.2020 17:18
Naja, ist die Frage warum ALLE mit diesem Problem Avira installiert haben.

Möglichkeit 1: nur Avira erkennt den Mist, daher schlagen Leute mit anderen AV hier im TB nicht auf obwohl sie den Mist auch drauf haben
Möglichkeit 2: der Mist ist nur auf Maschinen drauf, wo auch Avira drauf ist, weil Avira das heimlich selbst installiert
Möglichkeit 3: nur Avira erkennt diesen Mist nicht, andere AV haben ihn vor der Infektion schon erkannt


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:51 Uhr.
Seite 1 von 9 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131