Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Exploit.Java.Agent.~A@95823236 im Opera Cache und Temp Verzeichnis (https://www.trojaner-board.de/83240-exploit-java-agent-a-95823236-opera-cache-temp-verzeichnis.html)

Kraligor 23.02.2010 15:08
Exploit.Java.Agent.~A@95823236 im Opera Cache und Temp Verzeichnis
 
Hallo,

heute Vormittag meldete mir mein Comodo On-Access Scanner zunächst folgendes:

Code:
Exploit.Java.Agent.~A@95823236 in C:\Users\***\AppData\Local\Temp\jar_cache3794015469892078952.tmp
fünf Minuten später dann:

Code:
Exploit.Java.Agent.~A@95823236 in C:\Users\***\AppData\Local\Opera\Opera\cache\opr08OUP
Ich prüfte die Datei bei Virustotal (h**p://www.virustotal.com/de/analisis/fba57ff8cfed809e8fdc1b6647515090933f4dd6f1c3cc0b02d80044c6c50f7b-1266920067) mit etwa 26% positiven Resultaten, was ja eher auf einen false Positive hindeutet. Allerdings kam ich beim Googlen des Hashwertes auf folgende Seite: h**p://maliciousbytes.blogspot.com/2010/02/exploit-kit-trying-all-exploits.html, welche die Datei als Exploit klassifiziert.

Diverse Scanner (Comodo, Bitdefender online, Panda online, Anti-Malware, HijackThis) fanden keine Gefahr mehr.

Nun zwei Fragen:
Bin ich wieder sicher (eine Infektion hat m.E. ja nicht stattgefunden)?
Wie kann eine infizierte Datei auf den Rechner kommen, die offenbar erst später durch den Scanner entdeckt wurde?

Danke und Grüße :)
Oli

cosinus 23.02.2010 23:28
Hallo,

welche Java-Version hast du?

Zitat:
wie kann eine infizierte Datei auf den Rechner kommen, die offenbar erst später durch den Scanner entdeckt wurde?
Du weißt wie Virenscanner prinzipiell funktionieren und dass das signaturbasierte Scannen eben genau diese Schwächen hat? Neue/unbekannte Malware kann erst zuverlässig mit zukünftigen Signaturen erkannt werden, da unbekannte Malware ja erst bei den AV-Lab ankommen, analysiert, passende Signaturen bereitgestellt werden und diese auch beim Endanwender ankommen müssen :)

Zitat:
mit etwa 26% positiven Resultaten
26% bei VT sind schon recht viel, zuviel für meinen Geschmack um es als Fehlalarm einzustufen.

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Kraligor 24.02.2010 02:55
Hi cosinus,

danke für die Antwort.

Eben, beim Öffnen von Opera nach Neustart, bekam ich wieder dieselben beiden Viruswarnungen. Eventuell war eine Seite meiner ~40 geöffneten Tabs verseucht, denke ich mir.

CCleaner habe ich durchlaufen lassen (die Registryreinigung nicht).
MWAM habe ich durchlaufen lassen - keine Fehler.
RSIT funktionierte nicht, dafür OLT.

Alle Logfiles hier: http://www.kinder-theater-werkstatt.de/logfiles.7z

Anbei auch das Bitdefenderlogfile (nicht von den unzähligen Warnungen irritieren lassen, die entstanden, als ich die betroffene Datei bei VT uploadete), das HijackThis Logfile und die infizierte Datei in einem 7z Archiv.

Für beide Archive lautet das Passwort "ukneif".

Java ist aktuell.

Grüße
Oli

cosinus 24.02.2010 19:07
Sieht alles sowit okay aus. Ich vermute, dieser Schädling im Java-Verzeichnis ist ein Exploit für alte verwundbare Versionen - da Du die bereits aktuellste Version hast, dürfte der Logik nach dieser Exploit nicht greifen und Du bist schädlingsfrei :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55