Trojaner in zip-Archiv

Internet Internet Sicherheit
#1

Hallo zusammen,

bei meinem wöchentlichen Viren-Scan ist ein Trojaner „Bagle.BG“ entdeckt worden. Gleich in zwei Dateien. Eine davon habe ich direkt löschen lassen. Der zweite Virus befindet sich in einem zip-Archiv undkann deswegen von AntiVir nicht entfernt werden. Wenn ich das zip-Archiv mit dem angegebenen Namen aber suche, finde ich es nirgendwo auf der Festplatte. Dazu habe ich zwei Fragen:

  1. Wie kann AntiVir einen Virus in einem Archiv finden, dass ich nicht entdecken kann und wie finde ich diese Datei ?

  2. Soweit ich weiß, spioniert ein Trojaner Passwörter aus. Muß ich davon ausgehen, dass jetzt eine dritte Person Zugang zu all meinen Passwörtern hatte, die ich in den letzten 7 Tagen verwendet habe (Bank etc.) und diese ändern ?

Vielen Dank im Voraus für jede hilfreiche Antwort !

Marcel

#2

Hallo Marcel

  1. Wie kann AntiVir einen Virus in einem Archiv finden, dass
    ich nicht entdecken kann und wie finde ich diese Datei ?

  2. Soweit ich weiß, spioniert ein Trojaner Passwörter aus. Muß
    ich davon ausgehen, dass jetzt eine dritte Person Zugang zu
    all meinen Passwörtern hatte, die ich in den letzten 7 Tagen
    verwendet habe (Bank etc.) und diese ändern ?

Also, ich würde davon ausgehen, das der Dienstherr des Trojaners deine Zugangsdaten besitzt. Bei dir müssten damit alle roten Lampen blinken! Dein System ist kompromittiert, verständige deine Bank.

Mach dir Gedanken, wie der Trojaner auf deinen PC gelangen konnte. Im Allgemeinen wie hier beschrieben: http://www.heise.de/security/artikel/49687 . Ich glaube kaum, das du das ausschliesen kannst. Mache deinen PC platt, und installiere dein System neu. Das es nicht anders geht, beweist dir auch dieser Artikel: http://www.microsoft.com/technet/community/columns/s…

Nehme dir ein paar Stunden Zeit und siehe dir das Video „(Un)sicheres Windows am Heim-PC“ an, welches du hier erhältst: http://ulm.ccc.de/ Wenn du kein DSL hast, mußt du einfach mal glauben, was hier http://www.ntsvcfg.de/ und hier http://www.dingens.org/ geschrieben steht.

der hinterwäldler

#3

Hallo Marcel

  1. Wie kann AntiVir einen Virus in einem Archiv finden, dass
    ich nicht entdecken kann und wie finde ich diese Datei ?

Verrate uns doch, in was für einer Datei bzw. in welchem Pfad der Trojaner stecken soll. Vielleicht hilft das ja, eine Erklärung zu finden. Bis dahin mal diese Vorschläge: Stell Dein System so ein, dass alle Dateien und Verzeichnisse angezeigt werden. Windows versteckt einige Dinge nämlich standardmässig vor Deinen Blicken. Und wenn der Trojaner in so einem Verzeichnis steckt, ist es klar, dass Du das nicht siehst.

  1. Soweit ich weiß, spioniert ein Trojaner Passwörter aus.

Ja und nein. Ein Trojaner (eigentlich wäre korrekt ‚Trojanisches Pferd‘) kann dazu genutzt werden, Passwörter auszuspähen. Muss aber nicht.

Muß ich davon ausgehen, dass jetzt eine dritte Person Zugang zu
all meinen Passwörtern hatte, die ich in den letzten 7 Tagen
verwendet habe (Bank etc.) und diese ändern ?

Wenn das Ding in einem ZIP-Archiv steckt, wird das ein Mail-Attachment sein, das irgendwo auf Deiner Festplatte liegt. Solange das Ding nur in diesem ZIP-Archiv gefunden wird und Du in letzter Zeit auch keine Mailattachments ausgeführt hast, wird Dein System vermutlich nicht befallen sein. Zumindest nicht von diesem Exemplar. Dann wären auch Deine Passwörter noch sicher.

CU
Peter

#4

Hallo Peter

Du hast was überlesen:
Zitatanfang –
bei meinem wöchentlichen Viren-Scan ist ein Trojaner „Bagle.BG“ entdeckt worden. Gleich in zwei Dateien. Eine davon habe ich direkt löschen lassen. Der zweite Virus befindet sich in einem zip-Archiv undkann deswegen von AntiVir nicht entfernt werden.
– Zitatende

Damit dürfte geklärt sein, das W32/Bagle.BG seine Arbeit schon getan hat und vermutlich von seinem Auftraggeber schon aufgegeben wurde. Der noch existente Verweis in der Registry auf ein geschütztes Zip-Archiv sagt wie zum Hohn, nichts anderes.

Madmorphi hat auf was geklickt und aktiviert. Zumindest würde ich davon ausgehen!

der hinterwäldler

#5

Hallo Hinterwäldler

Eine davon habe ich direkt löschen lassen.

Keine Angaben dazu, was das für eine Datei war, wo sie sich befunden hat o.ä.

Der zweite Virus befindet sich in einem zip-Archiv undkann
deswegen von AntiVir nicht entfernt werden.

Solange das Ding im ZIP-Archiv steckt, besteht keine Gefahr.

Damit dürfte geklärt sein, das W32/Bagle.BG seine Arbeit schon
getan hat

Keineswegs. Da bei der einen Datei nicht näher ausgeführt wurde, wo sich diese befand, wie sie hiess etc., kann man nur spekulieren, ob es vielleicht ein Mail-Attachment war, das nicht als ZIP daherkam (der Wurm muss sich ja nicht in jedem Fall als ZIP-Archiv versenden…) oder ob das Ding wirklich aktiv war.

Für den Fall, dass der Wurm aktiv war, hätte Antivir wohl mehr als eine Datei angemeldet und ggf. noch ein oder mehrere Registry-Einträge.

Madmorphi hat auf was geklickt und aktiviert. Zumindest würde
ich davon ausgehen!

Er hat jetzt jedenfalls beide Einschätzungen und kann für sich entscheiden, was ihm lieber ist.

CU
Peter