Klick Helfer - Virus im Umlauf! WARNUNG! Seite selber bereits gefährlich!

[NeoGriever]

Hi

Ich habe soeben mitbekommen, dass einige Sponsorenseiten einen Banner verbreiten lassen, welcher an sich ja schon verdächtlich klingt. "Klick Helfer - Open Source".

Nun ja. Von Open Source darf bei verschlüsselten ini-dateien nicht die Rede sein. Darüber hinaus: Mein Northon Antibot hat bereits bei der Webseite ein Scriptvirus erkennen können.

Ich habe das Programm mal zerpflückt, im Sandkasten ausgeführt und Die Requests und Prozesse, auf welches es zugreifen will, geprüft. Ich warne jeden, der dieses Programm interessant finden sollte, EINDRINGLICHST davor, dieses auch nur anzurühren. Es versucht nämlich bei Internet Explorer, Firefox, SeaMonkey, Google Chrome, Opera und sogar bei dem recht unbekannten Comodo Dragon einen Keylogger zu integrieren!

Das Programm selber startet sich im Hintergrund, nutzt die user32.dll und die kernel32.dll aus dem fix angegebenen Pfad C:\Windows\system32\ und integriert sich in den Autostart.

Das Entfernen des Tools erwies sich als mühsam, da es sich an mehrere Orte verschoben hat und scheinbar sogar unter Windows Vista versucht, die Dateiberechtungen für sich selber auf einen anderen Benutzer zu schieben.

1. Man sollte den User, der diese Seite eingetragen hat, möglichst schnell ausfindig machen und die Banner von den Sponsorennetzwerken entfernen.
2. Jeder, welcher das Programm auf seinen Rechner bekommen hat, sollte ClamWin, Avira, Northon und am besten dazu noch die Outpost Firewall ausführen. HiJackThis hilft ebenfalls noch, die Autostart-Einträge ausfindig zu machen.

Ich wollte nur mal drauf hinweisen.

PS: Avira wird bei der Exe-Datei aus dem Rar-Archiv NICHT anspringen. Der Virus versteckt sich in der größeren verschlüsselten Datei, welcher jedoch scheinbar mittels Rijndael und einem Kennwort verschlüsselt wurde.

[tobomator]

Hallo, mich interessiert mal die Ursprungsseite, wo es auftritt.
Es sei Du hast den Codeteil, wo der Aufruf passiert, und der Salat nachgeladen werden soll.

Würde mir das gerne mal genauer anschauen !

Danke
Tobi

Nachtrag:
Wer einen infizierten Rechner prüfen will, sollte standard mäßig folgendermaßen vorgehen:
Ein USB Gerät haben, wo folgendes drauf ist:
RuBotted, HiJackThis, mbam1.51 oedr neuer ...

1> abgesicherten Modus mit Eingabeaufforderung starten
2> explorer.exe starten und per usb die sachen aufs system kopieren
3> mittels regedit mal an bestimmten stellen nachschauen, ob was verdächtiges zu sehen ist
4> schon mal alle %TEMP% spezifischen Directories löschen auch "c:\tmp" wenn vorhanden
5> msconfig ausführen und schauen was sich verändert hat und gegebenenfalls alles auskommentieren was nicht windows ist (auch drucker google etc - einfach alles)

so sind 50% der schädlichen Dateien eventuell schon vom system oder mehr und es wird für die tools einfacher

6> die sachen installieren und durchlaufen lassen
7> hijackthis protokoll auf usb verschieben und an anderem Rechner schauen was auf www.hijackthis.de ausgegeben wird

Wer seinen Rechner vernünftig schützt, der hat auch keine Probleme zuerwarten.
In einer VM sich im Netz zubewegen ist allemal einfacher und sicherer, es sei, die VM hat selbst Lücken in den sicherheitsbezogenen Richtlinien.

[Smssam]

Hey,

danke für die ganzen Informationen, aber was interessant wäre ist zu wissen wie die Banner aussehen womit die Seite beworben wird. Bzw. wie die Seite allgemein heißt damit man diese auf die "Blackliste" packen kann.

Achja und ist Comodo Dragon und Chrome nicht das selbe?

Zitat:

Zitat von tobomator

Nachtrag:
Wer einen infizierten Rechner prüfen will, sollte standard mäßig folgendermaßen vorgehen:
Ein USB Gerät haben, wo folgendes drauf ist:
RuBotted, HiJackThis, mbam1.51 oedr neuer ...

Kann da auch http://www.emsisoft.de/de/software/eek/ empfehlen, man muss halt immer daran denken die Software zu aktualisieren.

[tobomator]

Nicht das selbe, nutzen vll die gleiche Engine oder den Unterbau.

@NeoGriever:
Welches OS nutzt Du ?

Ich hoffe nicht Win7, denn dann wäre es mal wieder was neues, was die Sicherheitsmechanismen aushebelt ...
MS halt *kopfschüttel*

[NeoGriever]

Ich benutze hauptsächlich Windows XP, habe aber Zugriff auf Test-Rechner, welche mit Linux, Windows Seven und Windows Vista laufen. Und unter jedem Betriebssystem gabs mit dem Programm probleme.

Der Banner ist sehr auffällig. Schwarzer hintergrund, große weiße schrift "Klick Helfer" und daneben große Rote schrift "Open Source" irgendwas.

(separat hochgeladen)

Insgesamt ist der banner sehr spartanisch gehalten.

Die Webseite wirkt ebenso sehr spartanisch. schlichter text mit einer verlinkung.

Die Domain lautet (habe sie noch in meiner history gefunden)
klickhelfer.icecube88.bplaced.de

LEUTE OHNE SICHEREN VIRENSCHUTZ SOLLTEN DIESE SEITE MEIDEN!

Ich rate zur vorsicht.
ABER: Das Programm scheitert an Systemen, wo der Windows-Ordner NICHT unter C:\Windows zu finden ist. Wenn dieser Ordner z. b. C:\WinXP heißt, wird eine Fehlermeldung ausgespuckt, welche besagt, dass C:\Windows\system32\user32.dll nicht gefunden wurde. Auch versucht es Zugriff auf die kernel32.dll auf selbigen Pfad.

[thrown-out]

die webseite ist übrigens ganz billig von http://filezilla.de/ kopiert...
stehen sogar noch die originallinks drin, nur die linktexte wurden entfernt.
und sogar die google-anzeige wurde von filezilla mitkopiert

[NeoGriever]

Die Seite ist inzwischen vom Netz genommen.

Sollte sie irgendjemand irgendwo nochmal sehen unter neuer Domain, bitte hier bescheid geben.

[Smssam]

Zitat:

Zitat von NeoGriever

Die Seite ist inzwischen vom Netz genommen.

Sollte sie irgendjemand irgendwo nochmal sehen unter neuer Domain, bitte hier bescheid geben.

Wollte schon gerade sagen, da Bplaced.de ein Free Webspace Hoster ist würde einfach eine E-Mail an den Support reichen um die Seite vom Netz zu nehmen ;-)