Backdoor Trojaner:Win32/IRCbot.gen!M
- Ersteller Ali Baba
- Erstellt am
Gaby Salvisberg
Super-Moderator
Hallo Ali Baba
Ich verschiebe den Thread gleich mal in den Malware-Bereich. Eigentlich ist ein komplettes Formatieren und Neuaufsetzen (nicht Drüberinstallieren!) immer der bessere Weg.
Falls du trotzdem eine Reinigung in Betracht ziehst, könntest du dies abarbeiten:
http://www.pctipp.ch/forum/showthread.php?t=17066
Gruss
Gaby
Ich verschiebe den Thread gleich mal in den Malware-Bereich. Eigentlich ist ein komplettes Formatieren und Neuaufsetzen (nicht Drüberinstallieren!) immer der bessere Weg.
Falls du trotzdem eine Reinigung in Betracht ziehst, könntest du dies abarbeiten:
http://www.pctipp.ch/forum/showthread.php?t=17066
Gruss
Gaby
Ali Baba
Stammgast
Hallo Gaby
Danke für deine Antwort und sorry für den Eintrag in der falschen Rubrik.
Glücklicherweise hatte ich mehr Glück, als mein Bekannter. Ich werde sein System auf jeden Fall neu aufsetzen. Da ist noch einiges Andere verwurschtelt. Ausserdem ist es eine gute Gelegen zur Systembereinigung.
Eigentliche interessiert mich in erster Linie was dieser Trojaner bewirkt.
lg Ali
Danke für deine Antwort und sorry für den Eintrag in der falschen Rubrik.
Glücklicherweise hatte ich mehr Glück, als mein Bekannter. Ich werde sein System auf jeden Fall neu aufsetzen. Da ist noch einiges Andere verwurschtelt. Ausserdem ist es eine gute Gelegen zur Systembereinigung.
Eigentliche interessiert mich in erster Linie was dieser Trojaner bewirkt.
lg Ali
Gaby Salvisberg
Super-Moderator
Vom Namen her ("IRCBot") würde ich annehmen, er nutzt für seine Untaten einen IRC Channel (IRC = Internet Relay Chat).
Solche Bots loggen sich automatisch auf voreingestellten IRC-Kanälen ein und warten dort auf Anweisungen des Botmasters. Die können alles beinhalten, vom Ausspionieren des Users, übers Nachinstallieren weiterer Schadkomponenten, Angriffsbefehle gegen andere Server usw. Es ist aber auch möglich, dass der Schädling noch ganz andere Sachen tut, z.B. mithilfe anderer Instant Messaging Protokolle.
Also kein besonders freundliches Teil. Natürlich vorausgesetzt, es sei kein Fehlalarm! Ich habe schon Virenscanner bei ganz legitimen IRC-tauglichen Anwendungen meckern sehen.
Falls du also z.B. auf einer seriösen Webseite ein hochoffizielles IRC-Programm heruntergeladen hast und der Virenscanner meckerte, bevor du das Programm überhaupt ausführen konntest, dann ist mit grosser Wahrscheinlichkeit nichts passiert.
Gruss
Gaby
Solche Bots loggen sich automatisch auf voreingestellten IRC-Kanälen ein und warten dort auf Anweisungen des Botmasters. Die können alles beinhalten, vom Ausspionieren des Users, übers Nachinstallieren weiterer Schadkomponenten, Angriffsbefehle gegen andere Server usw. Es ist aber auch möglich, dass der Schädling noch ganz andere Sachen tut, z.B. mithilfe anderer Instant Messaging Protokolle.
Also kein besonders freundliches Teil. Natürlich vorausgesetzt, es sei kein Fehlalarm! Ich habe schon Virenscanner bei ganz legitimen IRC-tauglichen Anwendungen meckern sehen.
Falls du also z.B. auf einer seriösen Webseite ein hochoffizielles IRC-Programm heruntergeladen hast und der Virenscanner meckerte, bevor du das Programm überhaupt ausführen konntest, dann ist mit grosser Wahrscheinlichkeit nichts passiert.
Gruss
Gaby
Ali Baba
Stammgast
Danke, Gaby, für die Ausführungen.
Zur Entstehung:
1. Im Pidgin Messenger hat er über sein MSN-Konto einen Facebooklink mit dem Verweis auf eine Bildatei erhalten.
2. Diesen hat er dummerweise gestartet. Aufgrund fehlender Administratorenrechte soll die Ausführung verhindert worden sein. Diese hat er dann auch abgebrochen. Trotzdem erhielt er vom Windows Defender die Meldung, dass eine Anwendung unrechtmässig auf das Internet zugreifen will. Er lies diese blockieren und beseitigen.
Da war mir bereits klar, dass er, bis auf das Anklicken des vermeintlichen Links, soweit alles richtig gemacht hatte und das Kind am Fallen ist.
3. Mittlerweile stellte er fest, dass ihm der Schädling an alle Skype Adressen den Link "http[://]wall-face[dot]com/profile.php" verschickte.
4. Nun schlug auch das BitDefender-Plugin im Firefox nach einem Scan Alarm.
Zwischenzeitlich stand ich auf der Matte. Ich löschte ihm noch die letzten gemeldeten Dateien mittels WipeFile. Jetzt ist zumindest bei den Scans Ruhe. Ich riet im trotzdem, das Internet tunlichst zu meiden.
Aufgrund deiner Beschreibung war das wohl nicht das Verkehrteste. Deshalb die Frage nach den möglichen Auswirkungen.
lg vom Ali
Zur Entstehung:
1. Im Pidgin Messenger hat er über sein MSN-Konto einen Facebooklink mit dem Verweis auf eine Bildatei erhalten.
2. Diesen hat er dummerweise gestartet. Aufgrund fehlender Administratorenrechte soll die Ausführung verhindert worden sein. Diese hat er dann auch abgebrochen. Trotzdem erhielt er vom Windows Defender die Meldung, dass eine Anwendung unrechtmässig auf das Internet zugreifen will. Er lies diese blockieren und beseitigen.
Da war mir bereits klar, dass er, bis auf das Anklicken des vermeintlichen Links, soweit alles richtig gemacht hatte und das Kind am Fallen ist.
3. Mittlerweile stellte er fest, dass ihm der Schädling an alle Skype Adressen den Link "http[://]wall-face[dot]com/profile.php" verschickte.
4. Nun schlug auch das BitDefender-Plugin im Firefox nach einem Scan Alarm.
Zwischenzeitlich stand ich auf der Matte. Ich löschte ihm noch die letzten gemeldeten Dateien mittels WipeFile. Jetzt ist zumindest bei den Scans Ruhe. Ich riet im trotzdem, das Internet tunlichst zu meiden.
Aufgrund deiner Beschreibung war das wohl nicht das Verkehrteste. Deshalb die Frage nach den möglichen Auswirkungen.
lg vom Ali
Zuletzt bearbeitet von einem Moderator:
Entschärfen!
Zuletzt bearbeitet von einem Moderator:
Gaby Salvisberg
Super-Moderator
Hi Ali
Merci fürs Feedback! Daran kann man sehen, dass solche Dinge tatsächlich passieren. Und dass Virenscanner wirklich nicht immer in der Lage sind, eine Infektion zu verhindern.
Tja, das entspricht ziemlich genau einem der "typischsten" aller modernen Infektionswege ;)
Gruss
Gaby
Merci fürs Feedback! Daran kann man sehen, dass solche Dinge tatsächlich passieren. Und dass Virenscanner wirklich nicht immer in der Lage sind, eine Infektion zu verhindern.
Tja, das entspricht ziemlich genau einem der "typischsten" aller modernen Infektionswege ;)
Gruss
Gaby
Swisstreasure
Stammgast
Hallo auch von meiner Seite :)
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.
[size=+1]Vista[/size] und [size=+1]Win7 User[/size]
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.
[size=+1]Schritt 1[/size]
Backdoor Warnung
Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.
Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.
Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.
Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.
Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.
Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Mit diesem Computer keinesfalls Online-Banking, Filesharing, Mailing oder Messaging betreiben.
Keine Up- und Downloads, außer auf Security-Seiten.
Alle auf diesem System gespeicherten Passwörter von einem garantiert sauberen Rechner aus durch neue ersetzen.
Mehr Information zum Thema, siehe auch System-Sicherheit.
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
- Bitte arbeite alle Schritte der Reihe nach ab.
- Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
- Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
- Bitte kein Crossposting ( posten in mehreren Foren).
- Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
- Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
- Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.
[size=+1]Vista[/size] und [size=+1]Win7 User[/size]
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.
[size=+1]Schritt 1[/size]
Backdoor Warnung
Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.
Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.
Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.
Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.
Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.
Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Mit diesem Computer keinesfalls Online-Banking, Filesharing, Mailing oder Messaging betreiben.
Keine Up- und Downloads, außer auf Security-Seiten.
Alle auf diesem System gespeicherten Passwörter von einem garantiert sauberen Rechner aus durch neue ersetzen.
Mehr Information zum Thema, siehe auch System-Sicherheit.
Ali Baba
Stammgast
Hallo Swisstreasure
Danke für deine Ausführungen. Auf der Suche nach einer Beschreibung zu diesem Bösewicht bin ich in einem anderen Forum auf einen ähnlichen Rattenschwanz von Scans, Tests, Prüfs und weiss der Geier was noch alles gestossen. Da bin auch mit meinem Latein am Ende und verstehe nur noch Bahnhof. Deshalb müssen die von mir gewarteten System in etwa folgende Bedingungen erfüllen, um auf solche Eventualitäten vorbereitet zu sein:
1. Das System kann mittels Recoverypartition sofort in den Werkszustand versetzt werden
2. Eine aktuelles Update-Pack kann heruntergeladen werden und aufgespielt werden
3. Mehrere aktuelle Daten-Backups sind vorhanden
4. Mails, Feeds und Browsereinstellungen, sowie Addons lassen sich bei Firefox/Thunderbird mit MozBackup wunderbar sichern.
5. Passwörter wurden mit einem Generator-Plugin erstellt und mit einem weiteren Plugin zusätzlich exportiert. Selbstverständlich mit einem Masterpasswort geschütz.
6. Die Passwortänderungen werden voraussichtlich vorab an einem zweiten System vorgenommen.
Somit ist der Arbeitsaufwand, mal abgesehen von den nötigsten Installationen, relativ gering bis zum betriebsbereiten System. Aber die Wartezeiten...naja, man hat ja noch Anderes zu tun.
Habe ich eigentlich schon erwähnt, dass ich das betroffen System, wie auch andere, mit freundlicher Unterstützung des PCtipp-Magazins warte?
lg vom Ali Baba
An Gaby: vielleicht wäre der Update-Pack-Builder 5.0.6 mal wieder ein Thema für den PCtipp
Danke für deine Ausführungen. Auf der Suche nach einer Beschreibung zu diesem Bösewicht bin ich in einem anderen Forum auf einen ähnlichen Rattenschwanz von Scans, Tests, Prüfs und weiss der Geier was noch alles gestossen. Da bin auch mit meinem Latein am Ende und verstehe nur noch Bahnhof. Deshalb müssen die von mir gewarteten System in etwa folgende Bedingungen erfüllen, um auf solche Eventualitäten vorbereitet zu sein:
1. Das System kann mittels Recoverypartition sofort in den Werkszustand versetzt werden
2. Eine aktuelles Update-Pack kann heruntergeladen werden und aufgespielt werden
3. Mehrere aktuelle Daten-Backups sind vorhanden
4. Mails, Feeds und Browsereinstellungen, sowie Addons lassen sich bei Firefox/Thunderbird mit MozBackup wunderbar sichern.
5. Passwörter wurden mit einem Generator-Plugin erstellt und mit einem weiteren Plugin zusätzlich exportiert. Selbstverständlich mit einem Masterpasswort geschütz.
6. Die Passwortänderungen werden voraussichtlich vorab an einem zweiten System vorgenommen.
Somit ist der Arbeitsaufwand, mal abgesehen von den nötigsten Installationen, relativ gering bis zum betriebsbereiten System. Aber die Wartezeiten...naja, man hat ja noch Anderes zu tun.
Habe ich eigentlich schon erwähnt, dass ich das betroffen System, wie auch andere, mit freundlicher Unterstützung des PCtipp-Magazins warte?
lg vom Ali Baba
An Gaby: vielleicht wäre der Update-Pack-Builder 5.0.6 mal wieder ein Thema für den PCtipp
Zuletzt bearbeitet:
Swisstreasure
Stammgast
Ich kann leider aus Deinen Erläuterungen nicht entnehmen ob Du vorziehst das System zu reinigen? Ich werde Dir die Anweisungen Schritt für Schritt aufführen. ;)