Virus Win32.gorshok.a

[smartling]

Habe diesen Drecksack seit heute auf allen drei Systemen. Selbst auf dem PC, der speziell nur für sichere, genau bestimmte Anwendungen/Adressen genutzt wird. Benutze als Betriebssystem WIN XP und als FW mit sich stündlich aktualisierendem AV-Schutz G-Data. Frage mich daher, wie sich dieser Virus (es ist ein Trojaner) hier eingenistet hat. Mit dem letzten WIN-Patch? Nee, oder? Oder über die G-Data-Virus-Updates? :-?

 

Der Virus lässt sich zwar in Quarantäne verschieben und dann auch löschen, aber bei nächster Online-Gelegenheit ist er wieder da. Und sie fällt dann auf, wenn sie, wie bei Trojanern üblich, "nach Hause telefonieren" will. Riecht irgendwie mal wieder nach dieser Hijacker-Methode.

 

Erster "Auftritt" angeblich 17.12.2007 laut G-Data-Viren-Lexikon. Sonst steht da aber nichts weiter.

 

Denke, da werden noch einige mit zu tun bekommen. Habe im Web nur in einem französischen Forum was gefunden. Ist aber von der Sprache her nicht wirklich so meine Sache. Hat jemand eine Idee/Lösung/nähere Infos?

 

[ Diese Nachricht wurde editiert von smartling am 18.12.2007 um 14:50 Uhr ]

[RPGamer]

Ich glaube der kommt über einen Pseudo Videoplayer rein, der vorgibt um das Video zu schauen müsste man eine aktualisierte Version installieren. Bin letztens auch auf so eine Seite gestoßen.

 

 

Wie man den wegbekommt, gut frage... Man findet dazu kaum Infos...

[SNOWWHITE]

Ich hab da gute Erfahrung mit Avast gemacht. Ist ein kostenloser Virenscanner und wird so manches von der Platte was da nicht hingewört!

 

 

[MischungsMicha]

Wobei auch Avast nicht zu diesem Teil hergibt.

Ich hab auch mal über unseren Premium Support bei McAfee angefragt. Leider gab es da auch keine Infos zu diesem Kandidaten.

 

Ich vermute der Roger hat sich da einen recht neuen Bösewicht eingefangen der noch am Anfang seiner Verbreitung steht, denn die verfügbaren Infos sind ja leider mehr als spährlich.

 

-----------------

Byebye vom Mischungsmicha

 

Ausführliche Sig? Klick aufs Bild!

 

[iidollarii]

wieso eingefangen? mein g-data hat das kleine ferkel vor ner viertelstunde brav ausgebremst, artig gemeldet und dann in die quarantänestation eingewiesen.

 

aber ich lass jetzt mal sicherheitshalber spybot, adaware und hijackthis drüberlaufen

-----------------

BESTELLT:

 

[SNOWWHITE]

@iidollarii

Endlich jemand der Ahnung davon hat! :-D :-D

 

Auf was für Videoseiten tummelt ihr euch so?

:lol: :lol: :lol:

[iidollarii]

also ich hab heute nur ein soundfile geladen, Brabus im stop and go, von so ner free load seite, link kam hier aus dem forum :-D

-----------------

BESTELLT:

 

[iidollarii]

spybot und hijackthis finden nix, adaware läuft gerade im deep-scan-modus.....

 

 

[MischungsMicha]

Spybot, adaware und hijackthis hatte ich mal vorausgesetzt das diese zur Allgemeinbildung gehören. Beim Roger bin ich mir jedenfalls sicher das eben diese schon über die Rechner gelaufen sind.

 

Nebenbei sollte man diese drei bei Windoof im Abgesicherten Modus laufen lassen.

Bei Virenscannern hat man da übrigens auch am meisten Erfolg.

[DerTux]

seufz... nehmt doch eeeeendlich mal LINUX...

 

ach.. isch liebe diese trojaner und viren... :lol: :lol: :lol:

[MischungsMicha]

Quote:

seufz... nehmt doch eeeeendlich mal LINUX...

 

Sollte es den Tag geben an dem Windows im Marktanteil von Linux überholt wird, bin ich mir sicher das Du genau diesen Tag verfluchen wirst:-P.

Denn dreimal darfst Du raten für welches Betriebssystem dann die Viren geschrieben werden :-D.

 

-----------------

Byebye vom Mischungsmicha

 

Ausführliche Sig? Klick aufs Bild!

 

[DerTux]

wenn es so einfach wäre, linux mit viren etc. anzugreifen, würden sie es eh schon tun...

 

nur is es nicht sooooo einfach... :lol: :lol: :lol:

 

jaja.. windoof lebe hoch.... :-D 8-)

[smartling]

Klar, Spybot & Co sind alle erfolglos, sprich: blind, geblieben.

 

Zur Info: Das mit den Videos oder Soundfiles halte ich zwar durchaus für realistisch, doch werden mit einem meiner PCs keinesfalls solche DLs vollzogen. Von dorther kann er also nicht kommen. Ich kann klar sagen, welche Seiten der Rechner (wissentlich) besucht hat, weil ich den aus Sicherheitsgründen unbedingt sauber halten will bzw. nunmehr: "wollte".

 

EDIT: E-Mails werden mit dem o.b. sicheren Rechner natürlich ebenfalls nicht bearbeitet, nicht über POP3 noch direkt oder sonst irgendwie.

[ Diese Nachricht wurde editiert von smartling am 18.12.2007 um 19:11 Uhr ]

[Timo]

Quote:

Am 18.12.2007 um 16:14 Uhr hat iidollarii geschrieben: also ich hab heute nur ein soundfile geladen, Brabus im stop and go, von so ner free load seite, link kam hier aus dem forum

 

Mist erwischt! :roll:

Jetzt muss ich mir was neues einfallen lassen! :lol: :lol: :lol:

-----------------

 

[RPGamer]

Mit was surfst du? Mit dem IE? Der hat bei mir nämlich seiner Zeit versucht das via ActiveX zu installieren (wo man ja leichter schonmal auf "Ja" klickt). Im Opera kommt direkt ein Downloadfensterchen.

 

 

Ohne Userinteraktion (so wie SQLSlammer etc.) kann es ja eigentlich nur dann reinkommen, wenn ein PC direkt am Internet hängt (oder ein versuchter PC ins Netz gehängt wird). Jeder billige DSL-Router sollte solche ankommenden Pakete verwerfen.

[RPGamer]

Übrigens bis jetzt kam die Meldung nur von GData Usern. Gut möglich das die einen Fehler in ihren Signaturupdates haben (oder einfach schneller als die anderen sind)

 

 

Sowas gabs letztens auch mal bei AntiVir.

[ Diese Nachricht wurde editiert von RPGamer am 18.12.2007 um 17:26 Uhr ]

[iidollarii]

grins, nein timo, da wollte ich dir nun wirklich nichts unterstellen.

 

der virus scheint bislang nur in frankreich recht aktiv zu sein, in deutschland immer noch nix zu finden, weder bei mcaffee, symantec, gdata, trojaner-board etc....

 

ich hatte ihn jetzt zweimal, einmal um 15.20 uhr und einmal um 16.58 uhr, das erste mal war es die A0197569.dll das zweite mal dann die A0197611.dll, scheint hochzuzählen der kleine.

 

leider zeigt mein scanner nicht an, aufgrund welcher aktion/heuristik er das ding gestoppt hat......

-----------------

BESTELLT:

 

[Analoger]

schon mal damit probiert?

 

 

[Analoger]

hier!

 

Diskussion

 

seit dem 17.12.2007 bei Kasp. bekannt- also was neues...

 

PS: ich bin nicht im Vertrieb von Kasp. aber zufriedener User.

[ Diese Nachricht wurde editiert von Analoger am 18.12.2007 um 18:05 Uhr ]

[iidollarii]

es geht ja nicht darum, dass man den viruns nicht finden würde. der scanner fängt ihn ja bis jetzt zuverlässig.

nur ist da offensichtlich eintweder ein programm auf dem rechner, dass ihn immer wieder nachlädt, oder ein mehrmaliger angriff auf den rechner läuft.

es geht darum, zu wissen, was macht das ding, was lädt ihn immer wieder nach.

und darüber gibts momentan eben noch keine infos.

was mich halt wundert ist, dass er gefangen wird und nen namen hat, aber nirgends was dazu steht :-?

-----------------

BESTELLT:

 

[DerTux]

mit msconfig bei nem winblöd-pc mal nachschauen, was alles so beim start geladen wird...

 

wenn die dll des virus eh schon auf dem pc bekannt ist, mal in der registry mit regedit danach suchen.. den oder auch die schlüssel rauslöschen...

 

ansonsten des teil neu installieren... insofern macht es sinn, wenn man schon winblöd einsetzt, nach der installation ein image von der kiste zu ziehen.. ist dann ne sache von ca. 15min, das danach erstellte, saubere image zurückzuspielen...

 

wenn ihr schon meint, von allen möglichen seiten saugen zu müssen, vmware-server installieren (kostet auch nix), darin euer windoof installieren und damit dann saugen.. is nen virus drauf, den letzten saubernen snappshot zurückspielen und gut... dauert ca. 5 min. maximal...

 

aber ihr lebt anscheinend getreu dem motto.. warum einffach, wenn's auch schwierig geht... :-D

[Stroker]

duuu tuxi ... wenn du meinst, das linux "sicherer"

ist, als windows, dann ruf doch mal bei der

servicehotline eines x-beliebigen webhosters

an frage die mitarbeiter, wieviel mal sie am

tage die situation geschildert bekommen:

"v-server bestellt, nie was dran gemacht und

eines tages kam das böse erwachen in form von..."

 

was ich damit ausdrücken will: es gibt immer

methoden, einen rechner (im weitesten sinne)

zu befallen und meistens ist es an den user,

die kiste abzusichern -sei es durch einspielen

von updates und patches oder durch

permanentes überprüfen mit virenscannern

und durch den einsatz einer firewall.

 

ich glaube, wir können hier feststellen, das

viren und sicherheitslücken für beide betriebssyteme

existent sind und immer irgendwelche leute

versuchen, neue lücken zu finden -aus den

unterschiedlichsten beweggründen.

wobei heutzutage botnetzwerke groß im

kommen sind und auf einschlägigen webseiten

mit .ru-endung teilw. offen offeriert werden.

 

ber die sache mit VM-ware und ggf. auch

life-cds wie z.b. knoppix ist auch hier schon

besprochen worden ... lass uns mal

versuchen hier beim thema zu bleiben und

den schaden abzuwenden ... danach können

wir immer noch bei nem bier (tee, kaffee o.ä.)

über betriebssyteme quatschen

 

so ...und nun mounte ich myself mal mit

/dev/blanket und geh auf die couch.

 

 

[smart450cdi]

@ All,

 

bei Computerbild könnt Ihr euch das Komplettpaket von Kaspersky, herunterladen.

Es ist eine kostenlose Jahresversion. :-P

 

Seit dem ich Kaspersky habe, ist Ruhe mit den Schädlingen. :lol:

Ach übrigens, dass Programm beseitigt auch Malware- Würmer usw.

 

War im übrigen auch Testsieger in verschiedenen Computerzeitschriften.

[DerTux]

@stroker...

 

da magst sicher recht haben, allerdings liegt das nicht an linux sondern an den technikern, die es einrichten bzw. warten...

 

ein debian richtig installiert und eingerichtet... also ich hab da null probleme...

 

btw... kannst ja gerne meinen server hacken... viel vergnügen...

 

madserver.de :-D

[Stroker]

nönö ... ich hab mein beil in die ecke gestellt

und da bleibt es auch bis nächstes jahr *g*

 

und was bekomm ich als automatische antwort

vom madserver? teardrop o.ä. ?

und ich steh voll auf die distri mit dem support

aus bremen -selbst auf meinen tomtom läuft

nebenbei nano-X ...nur die schumm-umgebung

hab ich nocht nicht zum laufen bekommen -also

kein zack mc krakken in den pausen :cry:

aber nun endgültig BTT, bitte ...