Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Trojaner, Viren und Würmer _ Trojaner verwandelt PC in lukrative Klickmaschinen

Geschrieben von: simracer 20.03.2012, 17:32

ZITAT
Ein dreister Trojaner lässt tausende Internetnutzer Geld in die Taschen von Online-Gangster scheffeln. Die Opfer bekommen davon nichts mit. Sogar Windows stuft das Schadprogramm als vertrauenswürdig ein. Denn die Hacker wenden einen Trick an, der alle Schutzmechanismen von Windows aushebelt.
Laut Sicherheitsdienstleister Kaspersky Labs verwandelt der Trojaner mit dem Namen "Mediyes" fremde Computer in gewinnbringende Klickmaschinen. Einmal auf dem System, infiziert der Trojaner die installierten Internet-Browser mit einer DLL-Datei. Alle Suchanfragen, die ein Opfer von nun an über Google, Bing oder Yahoo! stellt, fängt der Schädling unbemerkt ab und leitet sie an einen Server des Anzeigennetzwerkes Search 123 weiter. So können die Hintermänner Werberanzeigen in Textform auf den Internetseiten, die ihre Opfer besuchen, einblenden. Für jedem Klick auf einen dieser Werbe-Links kassieren die Kriminellen Geld, ohne dass der Nutzer etwas davon merkt. Die gewinnbringenden Klicks führt der Trojaner selbst im Hintergrund aus.

Den kompletten Bericht gibt es bei http://computer.t-online.de/trojaner-mediyes-trickst-mit-gestohlenem-conpavi-zertifikat/id_54951222/index

Geschrieben von: Scrapie 21.03.2012, 06:12

Sollte ja eigentlich kein Problem sein, da nur der Dropper signiert war und nicht die nachgeladenen Dateien - es sei denn, eine signierte Datei vererbt ihre sichere Einstufung bei der Schutzsoftware an alle übrigen durch sie erstellten Datein. Wäre interessant das zu testen...

Scrapie

Geschrieben von: markusg 01.04.2012, 18:51

wenn das teil erst mal instaliert ist, wird eine erkennung sehr schwierig.
ich hatte schon pcs, da lief das teil 44 monate, und die dateien die ich dann gelöscht und geprüft hatte, hatten immernoch eine erkennung von 0 bei virus total.
http://www.paules-pc-forum.de/forum/viren-forum/145764-schnelltest-neuer-virus-ahnungslose-user-seit-monaten-infiziert.html
da haben wir ein kleines tool, welches den entsprechenden registry key untersucht und bei infektion eine warnmeldung ausgibt.

Geschrieben von: Hibernaculum 03.04.2012, 13:40

Die Erkennung ist leider immer noch mau. Ich habe gestern den ersten infizierten Rechner in meinem Umfeld gesehen. Aufgrund der breiten Streuung würde mich interessieren, wie er genau verbreitet worden ist. Über Blackhole?

Geschrieben von: markusg 03.04.2012, 16:17

ich hab jeden tag n paar Mediyes betroffene.
ich glaub ne maue erkennung ist noch übertrieben, die meisten dll und sys dateien die mir in die hände fallen haben ne erkennung von 0 und sind dabei unter umständen schon monate aktiev.
die meisten nutzer melden sich ja nicht mal wegen der für Mediyes als typisch beschriebenen symptome, sondern wegen ganz anderer probleme, und diese infektion fällt dann nur neben bei auf :-)
deswegen hatten wir ja das oben verlinkte tool erstellt.

wie der genaue verbreitungsweg ist, weis ich leider auch nicht, in irgend nem artikel hieß es popus auf pornoseiten, was aber auch nicht sonderlich hilfreich ist

Geschrieben von: Hibernaculum 03.04.2012, 16:25

Ok, danke. Mal schauen wie das weitergeht.

Geschrieben von: markusg 03.04.2012, 17:17

mal als beispiel, 4 dlls von 2 pcs.
.sys dateien hab ich noch nicht, aber sind meist auch nicht besser
https://www.virustotal.com/file/e8b5f75a7beec454b3ebd85370dec37f4d187d86377991d9645aabe6fae15fd4/analysis/1333468988/
https://www.virustotal.com/file/25d1d02a62f47e167286c9c8e1247326c742b36436d3ca4f670df6ac116edea0/analysis/1333469287/

https://www.virustotal.com/file/842a8feb70491b9dbd8bb61274b344121b40369ecbda1b6e4ae766b6c543be5b/analysis/1333469378/
https://www.virustotal.com/file/16ac0fca9bd74fbe38713b707416310a1be034536ac11267c2ccdc9f6019a926/analysis/1333469605/

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)