Nachdem es mir endlich gelungen ist, ein Sample davon zu bekommen, habe ich mich mal mit dieser Malware auseinandergesetzt und einen Infektionsablauf reproduziert.
Dieser sieht in etwa wie folgt aus:
1. Sie trägt sich (2 Mal) ins Autostart-Verzeichnis ein.
2. Registrierungseinträge werden so manipuliert, dass sich das bekannte Bild beim Start zeigt.
3. Es wird eine Verbindung zu einem Server in Kasachstan aufgebaut.
Heute morgen war Kaspersky einer der wenigen Scanner, der diesen Trojaner erkannt hat.
Also habe ich einige andere größere Hersteller angeschrieben, und zum jetzigen Zeitpunkt haben bereits Avira und Microsoft geantwortet und entsprechende Updates vorgenommen.
Sollte euer Scanner nicht zu Kapersky/Avira/Microsoft gehören, könnt ihr mir den Hersteller nennen und ich werde ihn ebenfalls informieren.
Hier eine Zusammenfassung dessen, was passiert: [Only registered and activated users can see links. Click Here To Register...]
Eine Verfolgung der IP ergibt einen schädlichen Eintrag: [Only registered and activated users can see links. Click Here To Register...]
Schließlich ließ sich der Webhoster (gohost.kz) über Whois erkennen: [Only registered and activated users can see links. Click Here To Register...]
Ich hab diesen Host auch angeschrieben, aber ich schätze, dass die Rechtslage in Kasachstan nicht sonderlich günstig ist.
Die Tage werde ich mich noch an eine Desinfektionsanleitung setzen, sobald ich etwas mehr Zeit dafür habe.
Zur Vorbeugung ist es am wichtigsten, den Browser sicherzuhalten (NoScript o.ä.). Gesunder Menschenverstand ist auch nicht übel :).
Anbei noch die Antworten von MS und Avira:
Dieser sieht in etwa wie folgt aus:
1. Sie trägt sich (2 Mal) ins Autostart-Verzeichnis ein.
2. Registrierungseinträge werden so manipuliert, dass sich das bekannte Bild beim Start zeigt.
3. Es wird eine Verbindung zu einem Server in Kasachstan aufgebaut.
Heute morgen war Kaspersky einer der wenigen Scanner, der diesen Trojaner erkannt hat.
Also habe ich einige andere größere Hersteller angeschrieben, und zum jetzigen Zeitpunkt haben bereits Avira und Microsoft geantwortet und entsprechende Updates vorgenommen.
Sollte euer Scanner nicht zu Kapersky/Avira/Microsoft gehören, könnt ihr mir den Hersteller nennen und ich werde ihn ebenfalls informieren.
Hier eine Zusammenfassung dessen, was passiert: [Only registered and activated users can see links. Click Here To Register...]
Eine Verfolgung der IP ergibt einen schädlichen Eintrag: [Only registered and activated users can see links. Click Here To Register...]
Schließlich ließ sich der Webhoster (gohost.kz) über Whois erkennen: [Only registered and activated users can see links. Click Here To Register...]
Ich hab diesen Host auch angeschrieben, aber ich schätze, dass die Rechtslage in Kasachstan nicht sonderlich günstig ist.
Die Tage werde ich mich noch an eine Desinfektionsanleitung setzen, sobald ich etwas mehr Zeit dafür habe.
Zur Vorbeugung ist es am wichtigsten, den Browser sicherzuhalten (NoScript o.ä.). Gesunder Menschenverstand ist auch nicht übel :).
Anbei noch die Antworten von MS und Avira: