NeoGriever
Well-known member
- 24 Juni 2008
- 902
- 61
Hi
Ich habe soeben mitbekommen, dass einige Sponsorenseiten einen Banner verbreiten lassen, welcher an sich ja schon verdächtlich klingt. "Klick Helfer - Open Source".
Nun ja. Von Open Source darf bei verschlüsselten ini-dateien nicht die Rede sein. Darüber hinaus: Mein Northon Antibot hat bereits bei der Webseite ein Scriptvirus erkennen können.
Ich habe das Programm mal zerpflückt, im Sandkasten ausgeführt und Die Requests und Prozesse, auf welches es zugreifen will, geprüft. Ich warne jeden, der dieses Programm interessant finden sollte, EINDRINGLICHST davor, dieses auch nur anzurühren. Es versucht nämlich bei Internet Explorer, Firefox, SeaMonkey, Google Chrome, Opera und sogar bei dem recht unbekannten Comodo Dragon einen Keylogger zu integrieren!
Das Programm selber startet sich im Hintergrund, nutzt die user32.dll und die kernel32.dll aus dem fix angegebenen Pfad C:\Windows\system32\ und integriert sich in den Autostart.
Das Entfernen des Tools erwies sich als mühsam, da es sich an mehrere Orte verschoben hat und scheinbar sogar unter Windows Vista versucht, die Dateiberechtungen für sich selber auf einen anderen Benutzer zu schieben.
1. Man sollte den User, der diese Seite eingetragen hat, möglichst schnell ausfindig machen und die Banner von den Sponsorennetzwerken entfernen.
2. Jeder, welcher das Programm auf seinen Rechner bekommen hat, sollte ClamWin, Avira, Northon und am besten dazu noch die Outpost Firewall ausführen. HiJackThis hilft ebenfalls noch, die Autostart-Einträge ausfindig zu machen.
Ich wollte nur mal drauf hinweisen.
PS: Avira wird bei der Exe-Datei aus dem Rar-Archiv NICHT anspringen. Der Virus versteckt sich in der größeren verschlüsselten Datei, welcher jedoch scheinbar mittels Rijndael und einem Kennwort verschlüsselt wurde.
Ich habe soeben mitbekommen, dass einige Sponsorenseiten einen Banner verbreiten lassen, welcher an sich ja schon verdächtlich klingt. "Klick Helfer - Open Source".
Nun ja. Von Open Source darf bei verschlüsselten ini-dateien nicht die Rede sein. Darüber hinaus: Mein Northon Antibot hat bereits bei der Webseite ein Scriptvirus erkennen können.
Ich habe das Programm mal zerpflückt, im Sandkasten ausgeführt und Die Requests und Prozesse, auf welches es zugreifen will, geprüft. Ich warne jeden, der dieses Programm interessant finden sollte, EINDRINGLICHST davor, dieses auch nur anzurühren. Es versucht nämlich bei Internet Explorer, Firefox, SeaMonkey, Google Chrome, Opera und sogar bei dem recht unbekannten Comodo Dragon einen Keylogger zu integrieren!
Das Programm selber startet sich im Hintergrund, nutzt die user32.dll und die kernel32.dll aus dem fix angegebenen Pfad C:\Windows\system32\ und integriert sich in den Autostart.
Das Entfernen des Tools erwies sich als mühsam, da es sich an mehrere Orte verschoben hat und scheinbar sogar unter Windows Vista versucht, die Dateiberechtungen für sich selber auf einen anderen Benutzer zu schieben.
1. Man sollte den User, der diese Seite eingetragen hat, möglichst schnell ausfindig machen und die Banner von den Sponsorennetzwerken entfernen.
2. Jeder, welcher das Programm auf seinen Rechner bekommen hat, sollte ClamWin, Avira, Northon und am besten dazu noch die Outpost Firewall ausführen. HiJackThis hilft ebenfalls noch, die Autostart-Einträge ausfindig zu machen.
Ich wollte nur mal drauf hinweisen.
PS: Avira wird bei der Exe-Datei aus dem Rar-Archiv NICHT anspringen. Der Virus versteckt sich in der größeren verschlüsselten Datei, welcher jedoch scheinbar mittels Rijndael und einem Kennwort verschlüsselt wurde.
