*.zlkon.lv

Moin Experten,

einer meiner PCs (WinXP, SP3, alle Updates) hat sich was eingefangen! Ein relatives kleveres Kerlchen muss der Schädling sein: Mein hochaktueller Panda-IS 2009 findet weder unter Windows noch unter einer Linux Boot-CD etwas. Auch Spybot, Hijackthis und ein Rootkit-Revealer zeigen nichts ungewöhnliches.

Die einzige (sichtbare) Wirkung ist, dass die Ergebnisliste von Google (Firefox und IE, aber NICHT Opera) manipuliert wird. Es werden Links zu irgendwelchen Klickzähler-Seiten an die Spitze der Liste geschrieben.

Ich habe mal mitgesniffert und festgestellt, dass er sich bei jedem Goggle-Aufruf (und nur dann) mit einer Seite .zlkon.lv über http verbindet. Wenn ich diese Adresse im (externen) Firewall sperre, reagiert Google zwar langsam aber die Ergebnisliste ist wieder normal.

Das ich das System neu aufsetze ist klar. Auch Datensicherungen sind aktuell. Das ist nicht das Problem. Aber irgendwie hat mich der sportliche Ehrgeiz gepackt: ich will den kleinen Stinker finden!

Hat jemand noch eine Idee, wo und wie ich suchen könnte?

Gruß
Stefan

Hat jemand noch eine Idee, wo und wie ich suchen könnte?

http://novirusthanks.org/blog/?p=526

Hi,

danke für Deine Antwort.

http://novirusthanks.org/blog/?p=526

Interessante Seite. Leider ist das nicht der Bösewicht, der sich bei mir eingenistet hat. Ich habe inzwischen mal die laufenden Prozesse beobachtet: es ist der Firefox bzw. der IE selber, die die Verbindung zu dieser ominösen IP (94.247.2.58) aufbauen wollen. Höchst eigenartig…

Gruß
Stefan

Hallo,

Ich habe inzwischen mal die
laufenden Prozesse beobachtet: es ist der Firefox bzw. der IE
selber, die die Verbindung zu dieser ominösen IP (94.247.2.58)
aufbauen wollen.

Naja, dass sich Trojaner / Viren etc. verstecken können, ist ja nichts neues. Und dass Verbindungen über Firefox / IE aufgebaut werden, um eine Firewall zu umgehen, ist auch nichts erstaunliches.

Das heißt nicht, dass ich Dir sagen kann, wer da werkelt, es soll nur eine mögliche Erklärung dafür sein, was Du und das System / der Scanner siehst bzw. nicht siehst.

Übrigens könnte man dieses Verhalten auch durch Einträge in der Registry bzw. in den Einstellungen des Firefox erreichen.
Gruß
loderunner (kein so großer Experte)

Interessante Seite. Leider ist das nicht der Bösewicht, der
sich bei mir eingenistet hat. Ich habe inzwischen mal die
laufenden Prozesse beobachtet: es ist der Firefox bzw. der IE
selber, die die Verbindung zu dieser ominösen IP (94.247.2.58)
aufbauen wollen. Höchst eigenartig…

Gar nicht eigenartig, der dort beschriebene Trojaner ändert die DNS-Einträge. Check das mal.

Hallo,

Hat jemand noch eine Idee, wo und wie ich suchen könnte?

http://en.securitylab.ru/viruses/364685.php

HTH,

Sebastian

Interessante Seite. Leider ist das nicht der Bösewicht, der
sich bei mir eingenistet hat. Ich habe inzwischen mal die
laufenden Prozesse beobachtet: es ist der Firefox bzw. der IE
selber, die die Verbindung zu dieser ominösen IP (94.247.2.58)
aufbauen wollen.

Der Begriff ‚rootkit‘ ist dir schon mal untergekommen?

Gruß

Der Begriff ‚rootkit‘ ist dir schon mal untergekommen?

Ich sagte schon, dass der Revealer nichts gefunden hat. Habe inzwischen auch mit Gmer gescannt. Nada…

Gruß
Stefan

Gar nicht eigenartig, der dort beschriebene Trojaner ändert
die DNS-Einträge. Check das mal.

Nö, nicht „meiner“. Sonst würde Opera auch spinnen.
Aber… Neues von der Front: Es ist ein Problem mit Javascript! Das hatte ich nämlich sowohl im Firefox als auch im IE aktiviert, aber NICHT im Opera. Sobald ich JS deaktiviere ist der Spuk vorbei.

Gruß
Stefan

Nö, nicht „meiner“. Sonst würde Opera auch spinnen.
Aber… Neues von der Front: Es ist ein Problem mit
Javascript! Das hatte ich nämlich sowohl im Firefox als auch
im IE aktiviert, aber NICHT im Opera. Sobald ich JS
deaktiviere ist der Spuk vorbei.

Natürlich ist da JavaScript im Spiel. Das ist so das Wesen der Google-Toolbar. Das sagt aber doch nichts über den Schädling aus.

Gruß

Natürlich ist da JavaScript im Spiel. Das ist so das Wesen der
Google-Toolbar. Das sagt aber doch nichts über den Schädling
aus.

Wer spricht von Google-Toolbar?
Einfach http://www.google.de

Gruß
Stefan

Hat jemand noch eine Idee, wo und wie ich suchen könnte?

Du könntest zunächst verschiedene Viren-Scanner benutzen. Nur weil Panda nichts findet, heißt das nicht, dass andere Scanner nichts finden.

Sollte keiner was finden, dann würde ich zunächst versuchen, das Ding einzugrenzen. Nachdem das Verhalten in allen Browsern auftritt kann es sich schon mal nicht um ein Firefox-Addon handeln, sondern es muss sich wohl um ein manipuliertes Plugin o.ä. handeln oder es wurde transparent ein Proxy dazwischengeschaltet, der alle HTTP-Antworten von Google on-the-fly verändert.

Angenommen es ist ersteres: Du könntest z.B. erstmal checken, ob die Plugins manipuliert wurden. Einfach die Plugins in der jeweiligen Version neu herunterladen auf nem sauberen PC und dann vergleichst du die MD5-Summen der sauberen Dateien mit denen auf dem betroffenen PC.

Falls dies zu nichts führt, müsstest du nachschauen, wie sich Plugins in die verschiedenen Browser einklinken (z.B. welche Registry-Einträge nötig sein müssen oder wo die Dateien liegen müssen, damit sie als Plugin in den Browser eingebunden werden). Vielleicht findest du dann ein Plugin, das dir auf dem verseuchten System gar nicht angezeigt wurde.

Falls sich das Programm als Proxy dazwischenschaltet, dann kann das z.B. als irgendein Treiber realisiert sein, d.h. du müsstest erstmal herausfinden welche Treiber alle geladen werden und ob diese manipuliert wurden. Das dürfte ziemlich aufwendig und schwierig sein.

Also je nachdem wie gut der Malware-Programmierer sein Ding versteckt hat, musst du eventuell eine enorme Menge an Aufwand reinstecken, um das Ding zu finden. Ich halte daher das Scannen mit verschiedenen von CD bootbaren Virenscannern für am aussichtsreichsten. Potentiell verseuchte Dateien wie z.B. die Dateien der Browser und der Plugins könntest du auch zu Diensten wie Jotti hochladen, die die Dateien dann mit nahezu allen Virenscannern checken.

Ich sagte schon, dass der Revealer nichts gefunden hat. Habe
inzwischen auch mit Gmer gescannt. Nada…

Nur weil ein Rootkit Revealer nichts findet, heißt das nicht, dass kein Rootkit aktiv ist.

Gratulation
Du hast soeben festgestellt, dass dein Antivirenprogramm dich nicht schützen kann. Welche Konsequenzen ziehst du daraus?

Zweitens scheint diese Änderung systemweit vorgenommen worden zu sein.
Also… Warum bist du mit Administratorrechen unterwegs?

Du hast soeben festgestellt, dass dein Antivirenprogramm dich
nicht schützen kann. Welche Konsequenzen ziehst du daraus?

Ich weine mich in den Schlaf und fasse nie wieder im Leben einen Computer an! *schwör*

Zweitens scheint diese Änderung systemweit vorgenommen worden
zu sein.
Also… Warum bist du mit Administratorrechen unterwegs?

Weil ich weiß, dass der „Schutz“, den XP bietet, wenn man auf die Adminrechte verzichtet, die Anführungszeichen verdient?

Naja, Spaß beiseite. ALLES kann gehackt/verseucht werden. Daher bin ich entsprechend aufgestellt: meine Systeme sind recht gut geschützt und vor allem - ich bin darauf vorbereitet, ein System schnell wieder neu aufzusetzen. Und genau das habe ich jetzt gemacht - hab’ nämlich die Geduld verloren bzw. die Suche wurde mir zu aufwändig.

Damit hat sich die Sache hier erledigt. Ich wollte das Ding ja eigentlich auch nur deshalb suchen, weil es der erste Schädling überhaupt ist, der es auf meinen privaten Systemen geschafft hat, rein zu kommen.

Gruß
Stefan

Danke an Alle!
Wie ich unten schon geschrieben habe: die Sache hat sich erledigt. Ich hatte nicht mehr die Zeit und die Geduld, damit rum zu spielen und habe die Kiste platt gemacht. Image zurückgespielt. Fettich.

Danke an alle die helfen wollten!

Gruß
Stefan

Damit hat sich die Sache hier erledigt. Ich wollte das Ding ja
eigentlich auch nur deshalb suchen, weil es der erste
Schädling überhaupt ist, der es auf meinen privaten Systemen
geschafft hat, rein zu kommen.

Der erste, der etwas sichtbar verändert hat, meinst du wohl?

Der erste, der etwas sichtbar verändert hat, meinst du wohl?

Macht ein fallender Baum ein Geräusch, wenn niemand da ist, es zu hören?

Gruß
Stefan