Viren/Trojaner Trojaner auf Java-Basis aufgetaucht

Guten Abend zusammen ,

Intego hat schon am 12. Oktober eine Warnung für einen Trojanerbaukasten, der auf Java basiert, herausgegeben.
Daher sind alle Rechner potenziell gefährdet, die Java installiert haben.

Funktionen des Trojaners "Java/Jacksbot.A":

• Sammeln von System Informationen
• Erstellen von Screenshots
• Löschen von Dateien
• Sammeln von Passwörtern (insbesondere von Minecraft)
• Remote URL-Requests

ACHTUNG: Der Virus wird erst von foglenden 5 von 44 Anti-Viren-Scannern erkannt (Stand: 02.11.2012, Virustotal): AntiVir, Avast, AVG, DrWeb, GData.
Wer also diese Virenscanner nicht benutzt, sollte einen der o. g. Anti-Viren-Scannern benutzen.

Der Trojaner lässt sich mit dem Trojaner-Baukasten von redp0isn erstellen. Link zum Baukasten *entfernt*.

Video Universelles Java Schadware RAT (SemperVideo):

Und wie immer gilt: Java deinstallieren, um auf Nummer sicher zu gehen.
Denn ist Java weg, ist der Virus auch weg - sein größter Vorteil (durch Java plattformunabhängig) ist auch sein größter Nachteil

Gruß,
bastla

Mir ist der Virus neu, aber jut, ich brauche Java zum Glück eh nicht

hi,

und was machen jene, die auf Java angewiesen sind...

Doof aus der Wäsche gucken :/
Ich will auch nicht auf Minecraft verzichten

Aber wie im Video beschrieben ist es ja recht einfach, das Ding wieder zu entfernen, voraus gesetzt, man bemerkt, dass es da ist.

Wie Martin (der Sprecher von SemperVideo) ja gezeigt hat, kann man in msconfig ganz leicht nachgucken, ob man betroffen ist

Und was Java angeht: Man muss Java nicht installieren, wenn man es braucht.
PortableApps bietet eine portable Java-Version unter dem Namen jPortable an in der Java Version 7 Update 9.
Jar-Dateien lassen sich mit jPortableLauncher starten.

Gruß,
bastla

Ich habe das JDK drauf und die User Account Control von Windows auf Scharf gestellt.
Kann sich der Virus jetzt immer noch unbemerkt einschleichen?

Der Virus kann deinen Rechner immer infizieren, wenn du eine Jar-Datei öffnest oder wenn die Jar-Datei versteckt mit einem anderen Exe-File geöffnet wird.

Auf Nummer sichern gehen kannst du nur, wenn du Java deaktivierst (oder deinstallierst) oder einen der o. g. Anti-Viren-Scannern benutzt.

Gruß,
bastla

Hi,

das Ganze wird Java-Programmierer wohl recht begeistern...

Wie sollen die ohne Java Aktiv zu haben ihre Scripts wohl testen...
Ein gangbarer Weg wäre vielleicht Java nur zu aktivieren, wenn Internet auf Off steht. Aber wo wäre denn der Sinn von Java, wenn nicht im Internet, für welches es ja schliesslich entwickelt wurde?

Ein wenig Gedankenarbeit das Ganze sicherer zu machen liegt hier eindeutig bei "Oracle", die ja die Java Bibliothek auf unsere Rechner Pflanzt. Auch MS muss sich dieser Frage stellen, da unter Windows eben etliches sich auch dieser Sprache bedient. LibreOffice nutzt für gewisse Funktionen ja auch die JRE, ohne diese kann z.B. eine Datenbank nicht richtig aufgesetzt werden.

Oder will jemand behaupten, dass nicht viele Internet-Page diese Technologie nutzt.

Und wie sieht das auf deinem Händi aus? Wie-viele Apps laufen unter Java, wovon der user gar nichts weiss? Oder glaubt Ihr wirklich, dass Android kein Java nutzt?

Also, ich weiss nicht...

Gruss ms

Ich habe meine Frage wohl zu unpräzis gestellt. Der Punkt ist, dass ich die Windows User Control eingeschaltet
habe, d.h. ich kriege normalerweise eine Nachfrage, bevor ein Programm Änderungen am System machen kann.

Kann sich dieser Virus jetzt trotzdem unbemerkt in meine Autostart reinhängen? Denn das würde bedeuten, dass
diese Windows-Schutzfunktion nichts wert ist.

Also wenn das auch den Autorun-Bereich unter die Lupe nimmt und dort nix rein oder raus lässt, ohne dass du es erlaubst, denke ich mal, dass es nicht funktioniert.
Der Trojaner ist ja nicht darauf ausgelegt, den Schutz von einem Betriebs-System außer Kraft zu setzen, denn dann wäre er auch nicht mehr universell einsetzbar, da jedes Betriebs-System andere Schutzfunktionen und Schwächen hat.
Schließlich versteckt sich der ja auch nicht, er ist nur da und erlaubt einem anderen PC den Zugriff auf deinen PC ohne dabei entdeckt zu werden.

Fazit: Ich denke schon, dass das sinnvoll ist

Tag.

Ihr seid verdammt leichtgläubig, wenn ihr denkt, dass es bei dieser einfachen Version bleiben wird. Und es ist ebenso leichtsinnig zu meinen, das UAC könnte euch schützen. Es ist ein Leichtes, Werte in die Systemregistrierung einzutragen ohne API - und mit Adminrechten wird kurzerhand das UAC kurzfristig abgeschaltet. Alles andere habt ihr bereits als vertrauenswürdig deklariert: javaw.exe / java.exe (und weitere) -> Systemregistrierung, Systemzugriff, Internet. Die Zugriffe darauf müssen zwangsweise mit einer Drittsoftware kontrolliert werden.

Wer heutzutage eben noch mit aktivem Java im Browser surft, kassiert früher statt später die Strafe. Seit Monaten wird jede Lücke ausgenutzt, wird gewarnt ohne Ende.

Wer Programme wie zB Jdownloader, sollte sich nach Alternativen umschauen oder sein Benutzerverhalten dahingehend schnell ändern, und zum Beispiel eine virtuelle Umgebung dafür (nur dafür) bereitstellen. Ebenso Spiele (siehe oben) - und hier reicht naives Denken auch nicht, niemand kann eine Garantie ausstellen, dass genau jene Server nicht gehackt worden sind.

So einfach ist es nicht...

MfG

ditto schrieb:

Es ist ein Leichtes, Werte in die Systemregistrierung einzutragen ohne API

Zum Vergrößern anklicken....

Ohne Admin-Rechten kann ein Programm nur in HKEY_CURRENT_USER Werte eingtragen, die Autostarteinträge liegen allerdings in HKEY_LOCAL_MACHINE.
Wer die UAC auf höchste Stufe stellt, fährt erstmal sicher; man darf natürlich nur Software Administrations-Rechten geben, denen man vertraut (oder deren Quellen glaubwürdig sind, wobei das nicht für Download-Portale wie CHIP gilt)!

Sicher wird es bald neue Versionen geben, doch ich denke nicht, dass der Kern des RAT jedes mal gravierend verändert wird. Jeder Anti-Viren-Scanner sollte sich nicht von kleinen Änderungen im Code täuschen lassen.
Die Files werden ja nicht anhand einer Checksumme o. ä. geprüft...

Gruß,
bastla

Ich zweifle nicht an deinen Kenntnissen, aber "ohne API" bedeutet, dass es auch am UAC vorbei möglich ist, direkt in die Datei (Systemregistrierung). Mit einer Doppel-Null lassen sich dann solche Einträge auch gegen Manipulationen aller Art schützen, da ist auch msconfig nutzlos. Ach ja, Obfuskierung sagt dir sicherlich was? Dagegen ist jede Echtzeitsuche machtlos, sobald der Code im Speicher ist, ist das Spiel verloren.

So einfach ist es nicht...

Zum Vergrößern anklicken....

MfG

Hi,

ich denke, in diesem Zusammenhang sei erwähnt, dass Trojaner eigentlich keine Viren als solche sind. Viren verbreiten sich innehab Deines Systems und kopieren sich beständig weiter - genauso, wie das lebende Viren eben auch tun. Im extrem-falle bis zum Exitus des befallenen; sei das ein lebender Organismus oder eben in unserem Falle unser Rechner.

Trojaner sind da schon ein wenig anders geartet. Wer die Geschichte der Griechen kennt, weiss auch was damals in Troja geschah. Hier geht es um Programmcode, der in der Regel die Daten; insbesondere Passwörter und Login-Daten (am liebsten natürlich E-Banking); die er ausspioniert nach aussen in die Hände von Kriminellen (anders kann man diese Gilde ja wohl kaum nennen) transferiert.

Die Krux von Trojanern ist es, dass diese sich nicht einfach irgendwohin kopieren, sondern sehr oft nur einmal zumeist in die Reg, das aber sehr effizient geschützt, ablegen. Hast Du einmal den Zugriff erlaubt diese Installation zu machen (zumeist als verkappte exe-Datei an irgend eine Instal-Datei angedockt sehr oft via Mail verbreitet, oft als Anhang. Er hängt sich dann ohne Dein Zutun via Dein Account an Deine abgehenden Mail), ist er eingenistet und wird nun im Hintergrund munter mitlaufen.


Da er aber nicht immer wieder erneuten Zugriff auf die Laufwerke auslöst, um darauf zu schreiben(wie es Viren zumeist tun) ist er oft auch sehr schwer aufzuspüren. Wenn Du im Taskmanager jetzt nicht jede notwendige Applikation genau kennst wirst Du diese aktive Funktion kaum entdecken! Hat ja nicht ein Fähnchen ich bin der Trojaner

Von dem Trojaner, von dem nun hier die Rede ist nutzt (soweit ich das nun richtig interpretiert habe) ein Javascript, dass via Deinen Browser auf befallenen Java-Websites verbreitet wird.

Gruss ms

@ditto:
Die Registry wird ja in Dateien irgendwo im system32-Ordner abgespeichert.
Wenn ein Programm ohne Administrations-Rechten versucht, Dateien innerhalb dieses Ordners (system32) zu manipulieren, wird Windows (zumindest bin ich davon ausgegangen) meckern und den Zugriff verweigern.

Demnach müsse man ohne laufendes Windows, sprich von irgendeiner Boot-CD oder sonstigem Boot-Kram, diese Dateien ändern.

Gruß,
bastla

hi,

habe leider noch eine Kleinigkeit vergessen. Nicht ganz unwichtig das zu wissen!

Man sollte natürlich nicht davon ausgehen, dass der Trojaner im Tankmanager unter den Anwendungen zu finden wäre. Dem ist natürlich nicht so!
Zumeist finden sich diese in den Diensten.

Habe schon solche zu Gesicht bekommen, die Neutral (ohne zugewiesenen user) also global für den ganzen Rechner aktiv waren. Das hat zur Folge, dass Dein Junior den unter seiner Anmeldung einfängt und Du unter Deiner Anmeldung nun auch befallen bist!

ms

Zu Deinem Einwand Bastla:

Es gibt natürlich Methoden das so zu handhaben, dass der Trojaner erst bei der nächsten Installation von irgend einem Programm erfolgt. Da Du ja die Erlaubnis gibst diese gewollte Installation vorzunehmen, ist nun auch die Türe für den Trojaner offen! Wie man so was Bewerkstelligt, werde ich hier nun ganz bestimmt nicht erklären. Ist ja kein Hacker-Forum...

@Salve.M:
Dann sind wir wieder beim Thema "Starte nur Anwendungen mit Administrator-Rechten, denen du vertraust und deren Quelle glaubwürdig scheint"!

Der Setup vom Flash Player wird bestimmt nicht mit Viren befallen sein, wenn ich ihn direkt von der Adobe-Seite runterlade

Gruß,
bastla

Hallo,

habe mir gedacht, dass es vielleicht gut ist noch einige Infos im Zusammenhang mit Viren anzuhängen.

Es ist nun schon etliche Jahre her, war noch in den MS-DOS-Zeiten, da wurde in der Universität von Istanbul eine Abteilung geführt, die sich mit der Entwicklung von Viren zu speziellen Zwecken befasste. Dar Sinn war, dass eine Methode entwickelt wurde um Programm-Schwarzkopien zu unterbinden. Wurde eine Software mehrfach auf verschiedenen Rechnern installiert wurde ein Virus aktiv, welcher sich auf die nicht legitimierten Installationen kopierte.

Dieses Art von Kopierschutz-Automatismus wurde nach diversen Disputen verboten.

Aus den 90er Jahren stammt auch ein sehr lästigen Virus Made in CH, er lief damals unter dem Namen Form-Virus, der extrem ansteckend war. Das Dumme an jenem Virus war einfach, dass die meisten Virenscanner den entdeckten, aber nach der Bereinigung war er zumeist nach einen Neustart wieder auf dem System.

Ich hatte lange Zeit mit diesem Ding zu tun und habe nur einen einzigen Virenscanner gefunden, der dieses Ding wirklich komplett beseitigen konnte. Um unsere Kunden zu schützen hatten wir damals eine Datenbank aufgebaut, wo wir den Programmcode diverser Viren archivierten (daher meine Kenntnis ) Dazu hatten wir einen Rechner auf welchem wir die Viren explizit infizierten, um herauszufinden wo er sich einnistete und welche Code dieser als Transportmittel nutzte.

Eine spätere modifizierte bösartige Variante dieses Virus löste sogar nach 8*18 Tagen eine voll Formatierung des Datenträgers aus und war nach der Aktivierung nicht mehr aufzuhalten!

Aus meinen Erfahrungen rate ich jedem dringendst, Warnungen in dieser Richtung wirklich ernst zu nehmen. Gerade Trojaner haben es wirklich in sich und können Dir immensen Schaden bescheren!

Dazu nun noch eine Anekdote betreffs Gutsgläubigkeit:

Es war in jenen Jahren, als eines Abends mein Nachbar an meiner Tür klingelte. Er verkündete mit entsetzter Mine, dass sein Rechner, auf welchem er Daten zu Geschäftszwecken hielt, nicht mehr hochfahre.
Ich ging an seinen Rechner und startete: Rückmeldung [no system] -> Staun...
Ich legte meine Startdiskette ein und löste einen Reboot aus. Nun cd C:, DIR und Resultat: keine HD
Was war geschehen?
Auf meine Frage, was er den gemacht habe gab er mir eine Diskette und einen kurzen Brief. Das habe heute Abend in seinem Briefkasten gelegen.

Text(sinngemäss):
Hallo mein Freund, habe bei Dir geklingelt, aber Du warst nicht zu Hause. Darum habe ich Dir das Ganze hier in den Briefkasten gelegt.
Auf der Diskette befindet sich ein Virenscanner, mit 100% Sicherheit alle Viren aus Deinem System entfernt. Nach einlegen einfach: A:\Start eingeben, alles andere läuft anschliessen automatisch ab. Gruss

Das Programm hat Wort gehalten, mit einer simplen Start.bat ist das ganze Prozedere abgelaufen und die Partition wurde rausgeworfen...

Soviel zum Vertrauen an Freund Unbekannt!

Gruss ms