|
nodejs-Malware: FireHooker/DownloadProtect TR/AD.FireHooker.BU Epidemie? In 2 Tagen 7 mal aufgeschlagen, die letzte Meldung davor stammt von Mai 2019 2015 gab es auch mehrere von Meldungen |
Und alle haben Avira. Schon seltsam. Scheint eher ein Avira-Problem zu sein. |
Zitat:
https://www.trojaner-board.de/174101...-gefunden.html |
Einen Grund mehr das nicht mehr zu nutzen. |
Zitat:
Komischerweise erkennt Avira immer nur einen Müll in tmp, aber bisher nicht den Task-Eintrag wie zB Code: Task: {FB9FCD3E-42B0-463A-9EED-017D9AECAEFF} - System32\Tasks\IKE- Windows Dienst => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG |
In diesem Thread gibt sich der nodejs Müll als etwas von NVIDIA aus :rofl: Code: Task: {08271906-0943-4415-BF35-68A5C1EFA5B1} - System32\Tasks\NVIDIA Shared Holographic => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG |
Das Auslesen eines dieser Adware-Tasks in diesem Thema zeigt an, dass sich Argumente im "Package Cache" Ordner aufhalten: Zitat:
In einigen dieser Themen findet sich auch die Adware DownloadProtect, welche sich vor ein paar Jahren im deutschsprachtigen Raum ausbreitete. Ein Beispiel von DownloadProtect unter FF in einem dieser aktuellen Themen: Zitat:
|
In diesem Thema verascht die Adware scheinbar das installierte Avira selbst: Zitat:
Schon irgendwie peinlich für Avira... deutsche Adware wird von einem deutschen Sicherheitsunternehmen, das sich für so gut hält, nicht erkannt. :D |
hrhrhrhr der ist ja goil! :lach: :rofl: |
Vielleicht gehören diese nodejs-Adware und DownloadProtect zusammen und letzteres wird im Hintergrund heruntergeladen... :lach: Mal sehen, ob das zu einer neuen Plage wird... :aufsmaul: |
Oder das ist Bestandteil von Avira (weil alle die das haben ja auch Avira nutzen) als heimlicher askbar Ersatz |
Zitat:
Avira scheint zumindest das einzige AV zu sein, dass temporäre .exe Dateien, welche die Adware erzeugt, zu erkennen. :) Edit: Ich lass ab sofort immer die TASK-Datei mit CMD auslesen, um an den Pfad der Argumente zu kommen... gleichzeitig lass ich den Package Cache Ordner auslesen... :D |
D.h. Avira ist momentan das einzige AV, dass diesen Mist (teilweise) erkennt? :wtf: Alle anderen erkennen garnichts davon? |
Zitat:
Du darfst mich aber gerne korrigieren (mit Beleg natürlich). :lach: |
Naja, ist die Frage warum ALLE mit diesem Problem Avira installiert haben. Möglichkeit 1: nur Avira erkennt den Mist, daher schlagen Leute mit anderen AV hier im TB nicht auf obwohl sie den Mist auch drauf haben Möglichkeit 2: der Mist ist nur auf Maschinen drauf, wo auch Avira drauf ist, weil Avira das heimlich selbst installiert Möglichkeit 3: nur Avira erkennt diesen Mist nicht, andere AV haben ihn vor der Infektion schon erkannt |
https://en.wikipedia.org/wiki/Trojan.Win32.FireHooker Zitat:
Das aktuelle gleichzeitige Auftreten hat vermutlich mit irgendeinem Ups was tun.... https://www.trojaner-board.de/200031...ml#post1740919 Zitat:
|
Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen. Ich habe Möglichkeit 1 im Verdacht... Und nur weil VT bei der .exe nichts anzeigt, heißt das nicht zwingend, dass die Datei legitim ist bzw. dass sie nicht für etwas missbraucht wird. |
Der zufällige Taskname (meist ein zusammengesetzter Name von Windows-Diensten oder Teilen davon) ist absolut nicht typisch für legitime Software, sondern spricht auch für Adware/PUP... es kann sein, dass die .exe gutartig ist, aber der Task mit den Argumenten ist es definitiv nicht... daher wird das weiter gelöscht. :D Edit: Ich lass mir ab sofort auch einen Export vom Order anzeigen... evtl. gibt es noch andere Komponenten in dem Ordner, die schädlich sind... vielleicht kann man so die Schadkomponente eingrenzen. |
|
Zitat:
edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben :wtf::confused: Auswertung bei VT ist echt mies :balla: --> https://www.virustotal.com/gui/file/...08ae51/details |
Aus diesem Thema: Zitat:
Schau mal Arne, diese FF-Einträge von DownloadProtect sehen ähnlich aus... vergiss sie bitte nicht: Zitat:
|
Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link. |
Ja...ich versuch dran zu denken...:pfeiff:.. |
Gibt es einen Decoder für sowas? Zitat:
|
Und in mind. jedem zweiten Thema ist die Adware DownloadProtect auf dem System... du kannst sagen, was du willst... dieser Mist gehört doch zusammen. :lach: :rofl: Echt ausgeklügelt diese Adware... aber nicht gut genug für uns. :snyper: :cool: |
Das sieht nach base64 aus...probier mal dort --> https://www.base64decode.org/ |
Schon probiert... da kommt nur Müll bei mir raus... :lach: |
Naja, ein paar Brocken kann ich dann entziffern wie zB {557DCE9A-B3ED-4D13-BA7B-89F4157E75C9}|1.0.3 SArmdir outputquerystring1 npm.cmd readFileSyncbkthGflastIndexOf1 base64utf-81֤6ִ slice1VdDUD5$TT |
Ich taufe diese Adware jetzt mal für mich "DownladProtect_verwandt" (solange ich nix besseres finde)... :rofl: |
Zitat:
|
Zitat:
|
Die Adware im FF-Profil erkennt MBAM schon länger, den Task und alles was dazugehört allerdings noch nicht. (korrigiere mich, wenn ich falsch liege) |
Zitat:
|
Zitat:
Ich finde es jedenfalls ziemlich auffällig, dass eigentlich auf allen betroffenen Rechnern Avira und Audacity installiert ist. Oder hat hier irgendein betroffener PC kein Avira bzw kein Audacity? BTW: hab mal alle FireHooker-Beiträge in einen neuen Thread verschoben, hat ja nichts mehr mit der F.txt zu tun. |
Zitat:
Zitat:
|
Evtl. kommt die Adware beim Herunterladen der Software Audacity von Audacity.de. So ein Mist... :rofl: mit aktiviertem PUP-Schutz von Microsoft Defender wird mir der Download der Audacity.exe sofort blockiert. :D Edit: Neuen Pfad entdeckt: Zitat:
|
Hab mal ne neue Auswertung von so einem "argument" gemacht siehe https://www.virustotal.com/gui/file/...237d96/details Stand aktuell erkennen den nur Kaspersky, Microsoft und ZoneAlarm by Check Point - wobei aber nur Microsoft den signaturbasiert erkennt, die beiden anderen nur durch eine Heuristik. |
Vieleicht hat jemand interesse sich damit auseinander zu setzen: https://app.any.run/tasks/b9c8829a-e25e-4fee-bb15-e884dd14a62c/ Das sollte der "run" des TR/AD.FireHooker.BU sein. |
Evtl. von der Adware angelegter Uninstall-Eintrag: Zitat:
Edit: Der Uninstall-Schlüssel verweist auf das Software-Updater Modul von Avira: Zitat:
|
Es herrscht z.Z Rätselraten vor. https://www.2-spyware.com/remove-tra...hooker-bu.html Zitat:
Zitat:
|
Zitat:
|
Hallo zusammen, natürlich gehöre ich nicht in den erlauchten Kreis der Experten :), aber mein Fall war einer der ersten in der "Neuzeit" seit 30.09., glaube ich. https://www.trojaner-board.de/200018-win10-trojaner-avira-tr-ad-firehooker-bu-mutmasslich-manipulierte-audacity-exe-node-js-relevant.html#post1740849 Das Audacity-File, von dem meine Infektion aus meiner Sicht kommt, hatte ich schon im Mai installiert (s. Thread + Screenshots). Draufgekommen bin ich nur über den TrendMicro-Artikel, in dem sie über dieses "node_modules" im nodejs-Verzeichnis reden. Das war datumsgleich mit der audacity.exe in meinem Download-Ordner. https://blog.trendmicro.com/trendlabs-security-intelligence/qnodeservice-node-js-trojan-spread-via-covid-19-lure/ Zitat:
Wenn ihr mich fragt, war das nicht ein SW-Updater von Avira. Den hatte ich nicht drauf (zumindest nicht absichtlich). Das sieht so aus, als wäre Ende September ein Update der Scan-Engine gekommen, das dann die dummen .exe-Files im Windows Temp-Ordner erkennt. Von einem Tag auf den anderen hatte sich auch die komplette Avira-Tool-Oberfläche hinter dem Systray-Icon verändert. Nicht schlagen, vielleicht täusche ich mich auch :) |
Da stimme ich dir zu... bei dir tippe ich auch auf die audacity.exe als Infektionsweg. :) |
Das ist aber nunmal ein klarer Hinweis dafür, dass hier eine Komponente von Avira Schuld an der Adware hat. Wenn das kein Vorsatz ist, dann IMHO grobe Fahrlässigkeit falls man sich da diese Softwareupdaterkomponente von irgendwelchen anderen Firmen oder Entwicklern besorgt hat... |
Es wirft auf jeden Fall kein gutes Licht auf Avira... ich wünschte, es käme ein Artikel auf heise security oder so raus... :D |
Zitat:
|
Zitat:
Grobe Fahrlässigkeit? Womöglich. Aber Avira will Geld von den Nutzern abgreifen und nicht durch mafiöse Praktiken reich werden :) Im Moment stehe ich noch zu meiner These, dass Avira das Ding einfach zufällig seit einem Update entdeckt *g |
Zitat:
Die haben ihren Ruf schon vor fast zehn Jahren selbst zerstört siehe https://www.trojaner-board.de/100374...iblue-ask.html |
*nachles* OK, das ist unterirdisch. Das erklärt aber auch, warum der Wind hier im TB so gegen Avira weht. Vor 9 Jahren war das noch anders, da hat Avira mit MKDB wohl einen treuen Kunden verloren. Zitat:
|
Ist ja nicht nur Avira. Es folgten auch AVG, Avast und Panda. Später wurde dann AVG von Avast gekauft. Wir hatten dann eigentlich nur noch diese empfohlen - Microsoft bzw Windows Defender - Emsisoft - Malwarebytes Wovon wir immer schon abgeraten hatten: irgendwelche Suites. Kaspersky hat sich später auch disqualifiziert, die reagierten sehr dünnhäutig nach einer Empfehlung eines Mozilla-Devs, der meinte, dass die derzeitigen Virenscanner viel mehr Schaden anrichten als dass die etwas nützen und man sie deswegen alle deinstallieren sollte - bei Kaspersky war immer das Aufbrechen von SSL/TLS-Verbindungen (also die Verschlüsselung bei HTTPS ab absurdum geführt) aktiv. Da es überhaupt keinen Sinn mehr macht, die Kohle in Virenscanner zu stecken, rate ich auch immer öfter von jeglichen fremden AVs ab. Auch ESET und GDATA, meistens seh ich eh immer nur die depperte Suite hier in den Log. Der Microsoft bzw Windows Defender läuft wesentlich besser und reibungsloser. Malwarebytes ist da noch eine Ausnahme. Das Geld für den gesparten AV steckt man besser in Backuphardware und wenn nötig Backupsoftware wie zB drivesnapshot. |
Übrigens wir hatten damals legendäre Diskussionen geführt. schrauber vs kronos-Kraktenking und purzelbär :rofl: Natürlich war auch andere in der Diskussion dabei und mussten ihren Senf dazugeben, ziehs dir rein :applaus: Avast 2016 Kostenlose Antivirensoftware Windows 10 Virenschutz mit Defender Freeware Virenschutz Programme von Qihoo, Baidu und Tencent |
|
Registry Suche: Zitat:
|
Ich glaube, ich konnte soeben den Übeltäter identifizieren: Müllsetup von audacity.de :pfui: Dreimal dürft ihr raten, was ich für eine Infektion hatte, nachdem audacity über die audacity2-4-2.exe von audacity installiert wurde: https://www.virustotal.com/gui/file/...d9c0/detection https://www.virustotal.com/gui/file/...0479/detection Code: Task: {14480E7D-8E43-4515-AAAB-1FC06555DEA7} - System32\Tasks\Windows Offlinedateien Redirector-Treiber => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNGCode: Verzeichnis von C:\Program Files (x86)\nodejsCode: <?xml version="1.0" encoding="UTF-16"?>Code: <?xml version="1.0" encoding="UTF-16"?> |
Bei mir lässt der Virenschutz den Download von audacity auf deren Homepage nicht zu: https://abload.de/thumb/unbenanntt2jjg.jpg |
Dafür braucht man aber keinen Bloat von F-Secure. Das Firefox Addon uBlock Origin blockt sowas wie vlc.de und audacity auch :) |
Dafür braucht´s kein Virenverhüterli: Zitat:
|
Zitat:
uBlock origin genügt, um nicht auf die Seite zu kommen. Nicht umsonst empfehlen wir dieses Add-on schon länger. Der Microsoft Defender (Windows Defender) mit aktiviertem PUP-Schutz schnappt sich auch die Installationsdatei, sobald man sie heruntergeladen hat. :D Also auch wenn jemand nicht uBlock origin nutzt, wird er durch Microsoft Defender (Windows Defender) geschützt. ;) MBAM reagiert nun auch langsam: Zitat:
|
https://www.2-spyware.com/remove-tra...hooker-bu.html Zitat:
|
Das einzige Tool, das diese Malware seit Beginn des neuen "Ausbruchs" auflistet, ist FRST. :D Ich hatte den Task damals (Anfang 2019) gemeldet, als es mir aufgefallen war. :party: Ich muss mal farbar ansprechen, ob er uns die Argument-Zeile aus dem Task auch noch auslesen kann... Andererseits will ich mir gar nicht ausmalen, wie viele Hunderte/Tausende deutsche Nutzer sich mit dieser infizierten audacity.exe Malware auf den PC geholt haben und bis jetzt nichts davon wissen... :glaskugel: |
Liste der Anhänge anzeigen (Anzahl: 1) Zitat:
Es ist aber auch echt hart: Wenn man "audacity download" bei Google eingibt ist der erst Hit erstmal gleich problematisch (s. Screenshot). Die warhre Herstellerseite ist erst auf Platz 4. Außerdem sind unter den Hits auch die Softonics und Chips dieser Welt :( Was ist denn audacity.de.uptodown.de? Mir scheint, dass die Chance sich beim Download von audacity was einzufangen, ziemlich hoch ist. |
Da gebe ich dir Recht, die Gefahr ist sehr groß. :headbang: Selbiges gilt für den beliebten VLC Mediaplayer... |
Könnt ihr mir bitte mal mit der Begrifflichkeit Adware vs. Malware helfen, so wie ihr das hier verwendet. Bisher definiere ich so: Adware: lästig, aber im Grunde harmlos Malwäre: Lange unauffällig aber dann echt gefährlich/teuer/schmerzhaft Der Thread heißt aber schon: Zitat:
Während ich mit MKDB an meinem Rechner dran war und sicher auch zwischendurch mal kein AV aktiv war (Avira deinstalliert, MSD "gehemmt"), hat der Firehooker scheinbar weitere scheduled tasks bei mir eingehängt. "Bitlocker" ist hier vermutlich nur Tarnung, oder? Zitat:
Nachtrag: Wenn die jeweilige AV-Engine außer Gefecht gesetzt wird, wird es zumindest indirekt sozusagen als Kollateralschaden gefährlich. Auch wenn die "Adware" selbst nur lästig ist. Zitat:
|
Zitat:
Kategorie es genau gehört. Es ist mir auch nicht klar, ob es 2015-2019 ( mit demselben Namen) derselbe Type ist. https://www.trojaner-board.de/174101...-gefunden.html https://www.2-spyware.com/remove-tra...hooker-bu.html Zitat:
Zitat:
https://www.trojaner-board.de/200086...ml#post1741517 Zitat:
|
Ok, die Beiträge waren definitiv aufschlussreich. Ich verstehe jetzt immerhin etwas besser worum es geht. Werde logischerweise trotzdem nix selbst verändern weil ich offenkundig überhaupt keine Ahnung habe was ich mache. Hätte mir in Retrospektive allerdings auch selbst denken müssen das der Download von Audacity nicht auf einer deutschen Website angeboten wird. |
h**ps://www.audacity.de/ Kontakt=Impressum dieser Verseuchungsseite ist ein Bild. für Google abgetippt: Zitat:
https://protipps24.com/de/impressum/ Zitat:
|
Zitat:
Ich hab schön öfter vlc.de als Betruf über den Firefox gemeldet (über Hilfe -> Betrügerische Seite melden) aber passiert ist mW noch garnix! :mad: |
Zitat:
|
Zitat:
https://www.file.net/prozess/vlc-updater.exe.html Ganz unten auf der HP steht übrigens Zitat:
Zitat:
Zitat:
Zitat:
|
Zitat:
GuRu hatte sogar mal einen Rechtsstreit mit dem Seitenbetreiber von vlc.de wegen diesen Thread |
Zitat:
PUP/PUA (Potentially Unwanted programs/Potentially Unwanted Application) gibt es auch noch... für mich ist das eine "abgeschwächte Form" der Adware, die oft über Drittanbieter-Software ungewollt mit auf dem Rechner kommt, das System verlangsamen und selbst weitere PUP/PUA nachladen kann. Die "Nodejs-Malware" lädt weitere Adware/PUP nach, z. B. DownloadProtect. Was es sonst noch macht, kann ich dir nicht sagen... daher ist auch eine genaue Eingruppierung schwer. |
Müssen wir eigentlicher unebdingt die nodejs Ordner und Registryobjekte mit FRST aus dem System kloppen? Die nodejs selbst ist ja keine Malware und nach meinem gestrigen Test hab ich im Startmenu sogar einen uninstall Eintrag für nodejs gefunden :) |
Zitat:
Ich hau alles weg, weil es für mich PUP ist. |
Mal eine kommerzielle Frage: Auf welchem Weg/wie profitieren/kassieren diese Typen? Die machen das doch nicht für lau. |
Zitat:
|
Zitat:
|
Zitat:
Zitat:
|
Zitat:
http://deinstallierenvonspyware.blog...einfachen.html Zitat:
|
Nochmal: node.js an sich ist legit siehe https://de.wikipedia.org/wiki/Node.js Node.js ist eine plattformübergreifende Open-Source-JavaScript-Laufzeitumgebung, die JavaScript-Code außerhalb eines Webbrowsers ausführen kann. Damit kann zum Beispiel ein Webserver betrieben werden. Node.js wird in der JavaScript-Laufzeitumgebung „V8“ ausgeführt, die ursprünglich für Google Chrome entwickelt wurde, und bietet eine ressourcensparende Architektur, die eine besonders große Anzahl gleichzeitig bestehender Netzwerkverbindungen ermöglicht. |
Zitat:
|
Hab eben nochmal meine Windows8-VM mit dem Audcity von audacity.de infiziert. Es kommt neben dem Müll (Javascript-Malware), die nodejs benötigt auch Schwachsinn von Lavasoft rein. Hier mal eine Datei und Regsuche mit FRST nach der Infektion: Code: ================== Datei-Suche: "Findfolder: nodejs;lavasoft;webcompanionCode: ===================== Suchergebnis für "lavasoft" ========== |
Zitat:
Code: C:\Windows\SysWOW64\msiexec.exe /x {0E05CA72-D8DD-432F-A2CC-880034A48577} |
Kann ich das auch direkt mit FRST über CMD ansprechen? Wenn ja, wie? Edit: In über 99% der Fälle ist die Software nodejs nicht von Nutzern installiert, insbesondere wenn es zeitgleich mit audacity oder WebCompanion auf den Rechner gekommen ist. Dieser Dreck von Lavasoft nervt mich auch schon seit Monaten... AdwCleaner entfernt das Meiste von WebCompanion... |
Zitat:
Code: cmd: "C:\Windows\SysWOW64\msiexec.exe /x {0E05CA72-D8DD-432F-A2CC-880034A48577}"Zitat:
|
und weils so schön ist: Zitat:
Zitat:
PS: Google bringt bei Suche nach gimp die echte Seite |
Zitat:
|
Zitat:
Der Mensch sitzt ja in Deutschland und nicht auf Tuvalu. Oder seine Kontaktdaten werden von unbekannten Dritten missbräuchlich verwendet und er weiß nichts vorn seinem Glück :) |
Ich habe jetzt schon mehrfach in Themen gesehen, dass durch die "Nodejs-Malware" die Adware/PUP DownloadProtect nachgeladen wird. Beispiele: Zitat:
|
Zitat:
Erfahrene User fallen kaum darauf rein und Otto Normaluser ist froh, wenn er (zB. unter Hilfe im Board) aus dem Schlamassel mit einem blauen Auge davonkommt. |
Zu den genanten Erweiterungen... Zitat:
... finden sich entsprechende Einträge über einen Komplett-Suche: Zitat:
|
Inzwischen sind fast 20 mit demselben Problem aufgetaucht und es dürfte nur die Spitze des Eisberg sein, da viele durch Lesen der Infos/Threads sich selber helfen können. Frage ist, warum diese Verseuchung so plötzlich aufgetaucht ist, denn der Müll wurde schon vorher/früher jahrelang runtergeladen z.T. auch mit sichtbaren Folgen, aber das ist schon etwas her. Möglicherweise hat man am "Beipack" gebastelt. |
Zitat:
Zitat:
Und wenn ein AV gar nichts moniert, denken die meisten Menschen, dass der Rechner sauber sein muss. ;) Im Prinzip ist die Malware ja gut gemacht. Es wird ein Task erstellt, dazu werden zum Beispiel Teile von Windows-Diensten/Prozessen bzw. deren Beschreibungen oder bekannte legitime Namen von Software-Firmen als Name verwendet, um nicht aufzufallen. Dann lenkt man den Task auf eine legitime .exe, die bei VT immer als clean zurückkommt. Im Task gibt man dann aber als Argument ein, dass eine Javascript-Datei schadhaften Code ausführen soll. :D Intelligent gemacht... ähnlich klug wie die Malware Mediyes damals. |
Laut virustotal läuft er bei M$ unter dem Alias Trojan:Win32/Occamy.AB https://www.microsoft.com/en-us/wdsi...tID=2147755095 Zitat:
|
Vielleicht ist es auch genau die Malware, die hier beschrieben wird: Nodersok: Microsoft warnt vor neuer Malware, die Web-App-Technologie nutzt |
Und scheinbar wars das dann auch schon wieder mit Themen diesbezüglich... Vielleicht haben die Malware-Autoren eine kleine Änderung vorgenommen und die Antivirenprogramme finden nichts mehr... wirklich viel haben sie ja sowieso nicht gefunden. Dann kann die Malware wieder weiter unbemerkt im Hintergrund arbeiten. :lach: |
Das Thema Firehooker scheint ausgestanden zu sein. Vielleicht noch ein paar Nachzügler. Mal sehen, ob das ein neuer Kandidat ist: Misleading:Win32/Lodi Virus in diesem Zusammenhang hab ich mal bei M$ gestöbert: https://www.microsoft.com/en-us/wdsi...hreatID=268893 Zitat:
Zitat:
Zitat:
Zitat:
|
Zitat:
|
Zitat:
Die meisten/fast alle/falle AV-Hersteller haben diese Malware doch gar nicht auf dem Schirm. Wer erkennt denn diese Malware richtig/vollständig, sobald sie auf einem System ist? ;) |
Zitat:
Zitat:
Zitat:
Zitat:
|
So, nochmal nachgeschaut, was mit der der Datei (siehe Beitrag ), die zuerst am 4. Oktober ausgewertet wurde, nun erkennen 19 Scanner da was Aber was nützt wenn dieser JavaScript auf jeder Maschine anders verschleiert ist... :balla: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board