Hallo,
Antivir findet o.g. Virus in einer ZIP Datei auf meinem Rechner…die Datei habe ich löschen lassen.
Ist das ein Problem, wenn der noch gezippt war? Im Interent finde ich Widersprüchliches dazu…hat jemand hier Erfahrung?
Habe gestern und ein paar Tage zuvor HiJackThis! laufen und automatisch auswerten lassen, da war nichts verdächtiges dabei…was denkt ihr?
Danke und Grüße,
samson
Antivir findet o.g. Virus in einer ZIP Datei auf meinem
Rechner…
War das wirklich eine .ZIP-Datei? Oder wurde dir evtl. lediglich das Symbol für gezippte Dateien angezeigt? Unter Java werden Klassenbibliotheken in JAR-Archiven gezippt. Dateien mit der Dateiendung .jar werden daher als gezippt erkannt und erscheinen somit in der Anzeige mit dem gleichen Symbol wie andere komprimierte Dateien.
die Datei habe ich löschen lassen.
Sollte man nicht tun. Besser in Quarantäne schicken. Dann hast du nämlich immer noch die Möglichkeit, diese Datei gegebenenfalls zur weiteren Analyse einem dritten vorzulegen.
Ist das ein Problem, wenn der noch gezippt war? Im Interent
finde ich Widersprüchliches dazu…hat jemand hier Erfahrung?
Java kann das JAR-Format durchaus direkt verwenden, ohne dass diese Dateien vom Anwender zu entpacken wären. Es ist also durchaus möglich, dass dieser Schädling bei dir aktiv war. Und da es sich dabei um einen Trojan-Downloader handelt, wäre die Kacke dann wirklich am dampfen. Du solltest deinen Rechner daher auf jeden Fall mit einem anderen Betriebssystem (Knoppix et al.) von CD booten und nochmals gründlich analysieren.
Habe gestern und ein paar Tage zuvor HiJackThis! laufen und
automatisch auswerten lassen, da war nichts verdächtiges
dabei…was denkt ihr?
Wenn der Downloader aktiv wurde, wären Analysen unter Verwendung des infizierten Systems reichlich fruchtlos und ohne jede Aussagekraft.
Gruss
Schorsch
NACHTRAG Java/Blackbox.AA.1
Hallo nochmal:
hier der Auszug aus der LOG-Datei von Antivir, vielleicht hilft das:
C:\Dokumente und Einstellungen\samson\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
count.jar-74e53ca1-1d864e37.zip
[FUND!] Enthält Signatur des Java-Virus JAVA/BlackBox.AA.1
WURDE GELÖSCHT!
hier der Auszug aus der LOG-Datei von Antivir, vielleicht
hilft das:
C:\Dokumente und
Einstellungen\samson\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
count.jar-74e53ca1-1d864e37.zip
[FUND!] Enthält Signatur des Java-Virus
JAVA/BlackBox.AA.1
WURDE GELÖSCHT!
Dann ist die Java-Anwendung ausgeführt worden. Ob es sich dabei tatsächlich um die JAVA/BlackBox.AA.1 gehandelt hat, oder ob der Scanner hier einen Fehlalarm geliefert hat, lässt sich ohne diese Datei natürlich nicht mehr nachvollziehen.
Wie gesagt: Knoppix von CD booten, gründliche Analyse! Wie man da aber genau vorgeht, habe ich keine Ahnung, das wissen andere besser.
Gruss
Schorsch
NACHTRAG 2 Java/Blackbox.AA.1
Hallo nochmals,
also ich fühle mich eigentlich wieder sicher jetzt, obwohl ich nicht viel getan habe. Zu Reht?
Meine Recherche im Netz ergab:
http://www.chip.de/c1_forum/thread.html?bwthreadid=8…
da heisst es, man solle mal hier schauen:
http://www.java.com/de/download/help/cache_virus.xml
dort ist ein link auf:
http://www.microsoft.com/technet/security/bulletin/M…
also mein System ist eigentlich immer voll „gepacht“ (man beachte auch das Datum der Veröff. von MS!), die Virtual Machine von MS kann ich beim besten Willen nicht finden. Standard war und ist bei mir die VM von Sun. Der test von der o.g. MS Seite ist negativ, eine Suche nach „jview“ über die ganze Platte bringt kein Ergebnis. Ich denke ich war zu keiner Zeit „verwundbar“, oder???
ALso bin ich doch auf der sicheren Seite, oder?
Danke wenn sich da jeamdn durchackert!
samson
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
[…]
also mein System ist eigentlich immer voll „gepacht“ (man
beachte auch das Datum der Veröff. von MS!), die Virtual
Machine von MS kann ich beim besten Willen nicht finden.
[…]
ALso bin ich doch auf der sicheren Seite, oder?
Sieht so aus.
Gruss
Schorsch
Hallo Samson
Antivir findet o.g. Virus in einer ZIP Datei auf meinem
Rechner…die Datei habe ich löschen lassen.
Was willst du damit machen? Du kannst dir das Archiv ins Tiefkühlfach legen und für schlechter Tage aufheben. Momentan haben wir hier täglich das Regal voll.
Lösche das Ding weg und alles ist gut. Hast du alledings schon mal angeklickt, auch im Archiv oder eine ander Datei hat versucht sie zu benutzen, dann mache dein System platt. Hoffentlich hast du dir gemerkt, wo solches Zeugs enMasse verteilt wird? In einem seriösen Foren jedenfalls nicht.
der hinterwäldler
Was willst du damit machen? Du kannst dir das Archiv ins
Tiefkühlfach legen und für schlechter Tage aufheben. Momentan
haben wir hier täglich das Regal voll.
Häh? Ich hab sie doch löschen lassen. Aber leider denke ich inzwischen…Quarantäne wäre besser gewesen, da hat Schorsch Recht! Man hätte zB das Datum der Datei mit dem des INtenet-Cache vergleichen können…woher das Mistvieh trotz meiner Vorsicht kam würde mich wirklich interessieren.
Lösche das Ding weg und alles ist gut. Hast du alledings schon
mal angeklickt, auch im Archiv oder eine ander Datei hat
versucht sie zu benutzen, dann mache dein System platt.
Hoffentlich hast du dir gemerkt, wo solches Zeugs enMasse
verteilt wird? In einem seriösen Foren jedenfalls nicht.
Nein ich hab sie nicht angeglickt, wie um alles in der Welt soll ich mich in das Verzeichnis verirren? Eine andere Datei glaube ich auch nicht, da hätte der AV guard anspringen müssen…hmmmm aber wie kam sie dann überhaupt auf das System? Kann sein , dass ich mal „Datei belassen und zugriff verweigern“ statt „Datei löschen“ bei Antivir geklickt habe…
der samson
der hinterwäldler
danke!
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
ähh…noch was…
Lösche das Ding weg und alles ist gut. Hast du alledings schon
mal angeklickt, auch im Archiv oder eine ander Datei hat
versucht sie zu benutzen, dann mache dein System platt.
warum? wenn ich die MS VM nicht auf dem Rechner habe, fehrl der Ansatzpunkt, die generelle Verwunhdbarkeit, für den Virus. ätte ich Linux, müsste ich mir um Windows Viren doch auch keine Soregen machen und könnte die Anklicken, oder?
der samson
der hinterwäldler