Warnung vor Virus / Trojaner durch Exploit in Java

Es gibt 25 Antworten in diesem Thema, welches 3.011 mal aufgerufen wurde. Der letzte Beitrag (12. Juni 2012 um 12:53) ist von Eastwood.

    Servus Leute,

    ich hatte jetzt am WE das Vergnügen mal wieder einen virenverseuchten Laptop richten zu dürfen... Doch dieses mal war es nicht der übliche Krempel, sondern durchaus etwas härter. Es handelte sich um das Rootkit Zero.Access, welches mit an Sicherheit grenzender Wahrscheinlichkeit durch einen Exploit in Java auf den Rechner gelangt ist. Dieser Exploit ist eigentlich schon seit Monaten bekannt, wurde aber beinahe ebenso lange nicht gefixt. Und jetzt wird es interessant: Es betrifft auch Macs -> und ja, ich meine die Macs die von Apple vertrieben werden. Diese setzen ebenso wie herkömmliche PCs mittlerweile Java ein und sind daher für diese Art von Schadsoftware ebenso anfällig.

    Ich lege euch nahe mal zu kontrollieren ob bei euch Java installiert ist und das ggf vom System zu entfernen, da mutmaßlich noch ein weiteres Sicherheitsleck in der Software ist welches evtl noch nicht gefixt wurde.

    Bei meinem Kunden wurden wir durch das Erscheinen einer sogenannten Scareware auf das Problem aufmerksam. Dabei handelte es sich um den Fake-Virenscanner "Live Security Platinum". Der zog eine riesen Show ab mit einem Fake Scan, bei dem natürlich im Sekundentakt Viren, Trojaner, Würmer und Dialer gefunden wurden. Man konnte das kaum wegklicken, ständig fragte er einen ob man das nun so lassen will oder nicht lieber ( natürlich kostenpflichtig ) das System bereinigen möchte...

    Im abgesicherten Modus von Windows habe ich also das Programm entfernt und die einzelnen Dateien aus dem System gepoolt. Zunächst schien auch alles behoben. Dann wollte ich das offenkundig beschädigte Microsoft Security Essentials erneut installieren, da der Echtzeitschutz nicht mehr funktionierte, wohl durch eine Beschädigung bzw Löschung des entsprechenden Services durch den Trojaner. Nun stellte sich aber heraus daß diese Scareware in Form des Fake Virenscanners wohl nur die winzige Spitze eines gewaltigen Eisbergs war. Den kaum war das Microsoft Programm installiert fand es auch nur Minuten später im obligatorischen Suchlauf eine Bedrohung, welche in einem "kritischen Fehler" mündete und einen unabbrechbaren Neustart des System zur Folge hatte. Nun wurde es durchaus etwas häßlicher, da man den Computer jetzt nicht mehr wirklich benutzen konnte, folglich auch keine echten wirksamen Gegenmaßnahmen ergreifen konnte. Kaum gestartet erkannte Microsoft Security Essentials sofort eine Bedrohung und zog die Datei in die Quarantäne ein, was sofort wieder zu einem "kritischen Fehler" führte.
    Zum Zeitpunkt der Infektion tat übrigens mit aller Wahrscheinlichkeit nicht Microsoft Security seinen Dienst, sondern Avast oder Avira, jedenfalls waren vor zwei Wochen die funktionslosen Fetzen dieser Programme auf dem Rechner, als ich erstmalig gerufen wurde einen Fake Antivirus zu entfernen. Möglicherweise habe ich damals aber ebenfalls nur die Spitze des Eisbergs verarztet und der Rest war schon drauf, oder wurde durch das Rootkit bzw den damit verborgenen Trojaner nachgeladen über Netz, wer weiß.

    Fest steht jedenfalls, daß dieser Trojaner / Rootkit u.a. durch einen Exploit in Java auf den Rechner gelangen kann, daher sollte Java entfernt werden. Es genügt sonst schon das bloße Betreten einer verseuchten Seite um sich zu infizieren, egal mit welchem Browser man die Seite besucht. Der Anwender bekommt davon auch zunächst nichts mit. Man kann davon ausgehen, daß der PC dann bei bestehender Internet Verbindung als "Zombie" und durch den Anwender weitestgehend unbemerkt in einem Bot-Netzwerk hängt um zb Spam Mails zu verschicken oder kostenpflichtige Fake Antiviren Programme zu empfangen etc. Das Geschäft mit den Bot-Netzwerken scheint jedenfalls gut zu laufen.

    Falls ihr Java auf dem Rechner bei euch findet würde ich raten mal genauer hinzusehen und nach diesem speziellen Zero.Access Rootkit zu scannen. Kasperksy bietet dazu wohl die TDSSKiller.exe an. Aber auch andere Anbieter haben da teilweise was auf Lager. Hat eine Infektion stattgefunden ist wohl eine Neuinstallation angesagt, da man bei diesen Rootkit Geschichten nie wirklich sicher sein kann alles zu erwischen. Das empfehlen auch die Antiviren Hersteller teilweise selbst, die Infektion ist einfach zum umfangreich.

    Der Trojaner selbst ist recht fies. Er sucht sich nach efolgter Infektion eine beliebige Treiber Datei und setzt sich in diese hinein, dabei löscht er den Treiber jedoch nicht sondern läßt sich statt des Treibers vom System laden und stellt dann die Verbindung zur eigentlichen Treiberdatei her, damit auch alles noch schön funktioniert. Findet jetzt irgendein Virenscanner wir zb Microsoft Security Essentials oder Avira, oder was auch immer, diese Datei und verschiebt sie in Quarantäne, dann bricht auch die Verbindung zu dem btroffenen Systemtreiber ab und erzeugt den eingangs erwähnten "kritischen Fehler" der zum Herunterfahren des Systems führt. Hier hilft es auch nicth Neustart bei schwerwiegenden Fehlern abzuschalten, er startet trotzdem neu. Auch mit dem Kommando shutdown -a in der Kommandozeile ließ er sich nicth stoppen, er geht trotzdem runter.


    Das nur als Warnung, sowas in der Ausführung habe ich bis jetzt noch nicht gesehen. Sonst waren es meist die Fake "BKA" oder "Gema" Viren, aber der heute ist schon etwas spezieller und auch nerviger. Das System wird jedenfalls formatiert, nun geht es nur noch darum die Bilder zu retten, die natürlich nicht extern gesichert wurden, weil sie zu wichtig waren... :rolleyes:

    Jugend ist beständige Trunkenheit - sie ist das Fieber der Vernunft

    Francois de la Rochefoucauld ( französischer Moralist des 17. Jhdt )

    Danke für die Info.

    Weißt Du ob das auch Linux-Systeme betrifft? Ganz ohne Java funktionieren ja sogar auf der co2air.de Seite viele Funktionen nicht.

    Ich mach es bei unbekannten Seiten oft so, dass ich im Browser Java deaktiviere bevor ich diese betrete.

    Gruß, Matthias

    Moinsen :^)

    Erstmal danke für die Info (hab gleich mal Java runtergeworfen). Ich weis auch gerade nicht wofür man das benötigt, Filme schauen geht trotzdem noch (gottseidank... :D ) Aber falls Du erfährst, das dat Java wieder Sicher ist, kannste dat bitte auch mal bekannt geben dann... :?: - Danke... :thumbup:

    ...dat----------> 

    :S "Die Welt ist ein sch... Spiel, aber die Grafik ist geil" 8o
    Meine HP, schaut doch mal rein... Teddy-Trucker.de

    Das kann ich Dir ehrlich gesagt nicht sicher beantworten im Moment, das muß ich nachlesen, da ich damit auch nicht soviel zu tun habe und software technisch nicht so bewandert bin, ich bin mehr der Hardware Typ :))

    Jedenfalls habe ich bei mir Java über die Systemsteuerung heute Mittag entfernt und es funktioniert alles wie gewohnt. Auch verwende ich NoScript und das blockt auf neuen Seiten standardmäßig nach wie vor alles. Ich gebe immer alles einzeln frei. Die Java Umgebung hat vermutlich nicht zwangsläufig was mit den Javascripts zu tun welche häufig eingesetzt werden, sondern wird nur benötigt um Java Programme zu verwenden. Das betroffene Java wird nicht mehr so häufig eingesetzt zum Glück. Wenn es genutzt wird, dann kann man das an der kleinen Kaffeetasse in Icon-form unten rechts im Browser erkennen. Aber es geht wie gesagt auch ohne, auf den zwei wichtigen anderen Rechnern in unserer Family war es nicht mal drauf. Mein Bruder ist Programmierer und er meinte: "Weg damit, braucht man eigentlich nicht", insofern stützte ich mich jetzt mal auf diese fachkundige Meinung :)) Ich selbst kenne mich da nicht gut genug aus.

    Jugend ist beständige Trunkenheit - sie ist das Fieber der Vernunft

    Francois de la Rochefoucauld ( französischer Moralist des 17. Jhdt )

    Jepp, ich habs auch über Systemsteuerung deinstalliert und alles läuft trotzdem gut. Vielleicht ist es ja wirklich unnütz, wie dein Brüderchen sagt, dann seh ich auch keinen Sinn es wieder zu Installieren... ;^)

    Also, wie schon geschrieben, vielen Dank nochmal, für die wertvolle Info...

    Erinnert mich auch gerade daran, das mein vierteljährliches Datensichern auf der Externen Platte mal wieder zeit wird... :thumbsup:

    ...dat---------------> 

    :S "Die Welt ist ein sch... Spiel, aber die Grafik ist geil" 8o
    Meine HP, schaut doch mal rein... Teddy-Trucker.de

    Wenn das der flashback ist dann ist bei Macs die Sicherheitslücke gestopft. OS entfernt ihn nach einem update automatisch.
    Von einem neuen Trojaner habe ich nichts gehört. Aber trotzdem sollte man wie Lt. Columbo sagt Java entfernen oder deaktivieren.

    Für Mac user:

    - Bei Lion ist es standartmässig nicht eingeschaltet.
    - Bei Snow Lepard kann man es unter Dienstprogramme ausschalten.

    Desweiteren ist auch für Macs ein Virenscanner anzuraten.
    Einr der besten ist Intego Virusbarrier. Kostet allerdings.

    An guten kostelosen gitb es:
    Sophos Anti-Virus und inzwischen auch Avira.

    Neben einem Virenscanner enpfiehlt sich noch Little Snitch welches den Netzwerkverkehr überwacht.

    Sorry für OT :)

    :thumbsup:

    Ich verwende Java seit vielen vielen Monaten nicht mehr, weil ich ein ganz ähnliches Problem hatte, wenngleich mein Virus / Trojaner nicht so hartnäckig oder gefährlich war. Java ist schon länger ne offene Tür gewesen kommt mir vor. Und da schlugen auch Echtzeit-Scanner nicht gleich an, erst bei einer umfassenden Systemprüfung....

    Zitat von Maverick14


    Für Mac user:

    - Bei Lion ist es standartmässig nicht eingeschaltet.
    - Bei Snow Lepard kann man es unter Dienstprogramme ausschalten.

    Beim Mac kannst Du java einfach für jeden Browser in den Einstellungen deaktivieren...Hier noch was für den übervorsichtigen Mac-User zum Aufspüren des Trojaners:

    hXXp://http://support.kaspersky.com/viruses/utility

    Ich habe übrigens LittleSnitch drauf, da geht nichts ins Netz ohne Zustimmung des Admin.! :thumbsup:

    Zitat von Drangdüwel

    Hm, dann weiß ich auch nicht wozu Java gut ist


    Ich habe da ein paar Programme die auf Java laufen. Zu einem die Konfigprogramme von Auerswald ISDN Telefonen und TK Anlagen.
    Und das bekannte Spiel Minecraft.

    Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages!

    Viele Online-Player funzen ohne das Java Employment-Toolkit nicht mehr.

    Beim Employment-Toolkit handelt es sich aber um ein Plugin!

    Der Zynismus ist meine Rüstung, der Sarkasmus mein Schwert und die Ironie mein Schild.

    _________________________________

    Java habe ich ebenfalls von den Rechnern geworfen, mit denen ich online gehe. Wie schon erwähnt, nutzt diverse Schadsoftware Sicherheitslücken in Java, welche anscheinend immer noch nicht gefixt sind. :wacko:
    Wer Java trotzdem unbedingt braucht, kann sich ja einen virtuellen Rechner einrichten (geht kostenlos, auch mit VMWare) und in diesem Java installieren. Wenn dieser verseucht werden sollte, schmeisst man halt einfach das Image weg. :^)

    Unabhängig davon kann man jedem nur raten, nicht nur die Microsoftsachen per Updates auf dem aktuellen Stand zu halten, sondern auch und gerade die Webbrowser und zusätzlich installierte Software wie Flash, Adobe Reader usw. Fiese Viecher nutzen gern Sicherheitslücken darin.

    Gruß
    Eastwood

    Hi Forum,

    wenn man auch ein paar Java-Anwendungen benutzt, was ja nicht ganz selten der Fall ist, dann reicht es auch im Browser Java zu deaktivieren.

    Hierzu ruft man bei Firefox / Chrome die Einstellungen ("Plugins") auf (gg.f bei Addons zu finden) und deaktiviert dort das java Plugin.

    Der Browser kann dann kein Java mehr verwenden und somit kann auch keine Webseite irgendwelche Java Bugs ausnutzen.

    beim Internet Explorer ist die Option irgendwo anders zu finden. ^^

    Zitat von Jagun

    wenn man auch ein paar Java-Anwendungen benutzt, was ja nicht ganz selten der Fall ist, dann reicht es auch im Browser Java zu deaktivieren.

    Leider gibt es auch noch Anwendungen, welche Java Web Start benutzen - und diese laufen ohne Browser.

    Gruß
    Eastwood

    Ja ... Innerhalb dieser Anwendungen ist dann aber eine "drive-by infection" wohl eher nicht gegeben.

    Das Einfallstor für Viren ist ja im Grunde der Browser und das dazugehörige Java Plugin, welches ermöglicht, dass Java Code ohne Zutun des Anwenders beim Betrachten einer beliebigen Seite ausgeführt wird.
    Ohne Plugin ist das nicht möglich.

    Ich habe mir einen Apple gekauft, weil ich das ewige Virenthema leid war. Die Scanner machen alle den Rechner langsam und kosten unnötig Energie.
    Deshalb benutze ich aus Prinzip keinen dauerhaft aktiven Virenscanner auf meinem Apple. Das werde ich solange durchhalten bis es irgendein Hacker schafft, das Apple System so zu knacken, das ohne die Eingabe meines Adminpasswortes ein Virus oder andere Schadsoftware ins System gelangen kann. Bis jetzt ist das zum Glück trotz teilweise anders lautenden Falschmeldungen nicht gelungen.

    Danke für die Info, das mal wieder durch schlecht programmierte externe Software Viren in Umlauf gebracht werden können.
    Zum Glück scheint es beim Mac mit Lion Betriebssystem auch eine Sandboxfunktion für Java Programme zu geben.
    Anscheinend ist Java so Virenanfällig das Apple diese Vorsichtsmaßnahme vorsehen mußte.


    Gruß Udo

    @ Lt. Columbo

    Kannst du dass denn durch irgendwas belegen mit der Java-Geschichte? Was ich nach kurzer Recherche gefunden habe ist folgendes:

    http://www.heise.de/security/meldu…zt-1485195.html

    Laut Heise-Artikel ist das ein März-Problem. Fleißige Updater mt Windows betrifft das Problem also nicht mehr. User mit nem Mac haben dennoch Probleme. Welche Version von Java war denn auf dem infizieren Rechner installiert?

    Fazit: Ich glaube eine Warnung jetzt ist nett gemeint, aber Update sollte doch auch reichen. Warum gleich die Radikallösung?

    Zitat von MonteChristo

    @ Lt. Columbo

    Kannst du dass denn durch irgendwas belegen mit der Java-Geschichte? Was ich nach kurzer Recherche gefunden habe ist folgendes:

    http://www.heise.de/security/meldu…zt-1485195.html

    Laut Heise-Artikel ist das ein März-Problem. Fleißige Updater mt Windows betrifft das Problem also nicht mehr. User mit nem Mac haben dennoch Probleme. Welche Version von Java war denn auf dem infizieren Rechner installiert?

    Fazit: Ich glaube eine Warnung jetzt ist nett gemeint, aber Update sollte doch auch reichen. Warum gleich die Radikallösung?


    Bei mir hat der Virenscanner letztes Jahr in einem Java Verzeichnis angeschlagen. Oder wars früh in diesem Jahr, war auf jeden Fall vor März. Deshalb trau ich Java auch nicht mehr übern Weg, da ist mir die Radikallösung lieber. Verwende eh nix, was Java brauchen würde. OpenOffice bräuchte es, läuft aber größtenteils auch ohne. Und zu OO gibts ja auch Alternativen.