Trojanerwarnung im Forum [behoben]

Hi,

mein Antivir gibt mir eine Trojanerwarnung, wenn ich folgenden Beitrag öffne: Pinvoke kennt Funktionen...

Gruß

Dario

Hallo Corpsegrinder,

das selbe Problem habe ich auch oft.
Ich habe bis jetzt geglaubt, dass das nur an meinem Rechner liegt.

Es gibt da ein paar Threads wo der AntiVir immer zuschlägt.
Der Thread wo mir das aufgefallen ist, ist dieser: Humor: Java Programmierer ... und andere lustige Sachen

Im Screenshot seht ihr die genaue Meldung die ich erhalte.
Als Browser verwende ich Opera, aber ich werde das morgen checken ob der AntiVir auch zuschlägt wenn ich mit dem Firefox auf die Seite gehe.

Gruss
Michael

nachdem ich den Screenshot von michlG gesehen habe, habe ich mich erst einmal gefreut, das er auch Opera nutzt.
Nach der Freude bin ich auf die Idee gekommen den Thread mal mit dem IE zu öffnen. Hierbei kommt keine Warnung von meinem Avira.
Ich denke mal dass es an der Konstellation von Opera und Avira liegt.

Hi,

ich habe die Meldung auch. Ich habe mir mal die Datei angeguckt und sie kommt mir auch komisch vor. Aber ich frage mich wo der Inhalt herkommt. Ich poste mal den Inhalt vielleicht sagt er euch ja mehr.

BM: 6 (


  ´´´ MZ
  ±ÿÿ ÿþÿ
ÿ º1
´ Í!¸@ ŽÀ¹ &Š&l €ä& l $:Ätö& l $:Äýýýýë~TurboBAT 3.23 Cracked by Timecop [PWA]                                          
$ü½Ø
‹n ‹f‹^{´JÍ!¡, ‰F¸Ó
PÆF"‹} ÿã¸ÿLÍ!ý‹×´Í!‹Ö¹ ´NÍ!rƒÇøÃSè [‹þOŠFPÿW.ÿWXˆF[Ã Ê ¨ Sè [‰fWV‹÷Fý
¹ ° óªý?¸)Í!ý¹ ° óªý¸)Í!^_ýWRýRW.‹FP‹Ü¸ K‹ÖÍ!½Ø
.‹n ŒËúŽÓ‹fûü´MÍ!ˆF[è .‹ ŽÂ&¡, Àu
JŽÂ& ƒÂ‹Â‰FÃSè COMSPEC[º ‹óÿW[Ãä SQWŽF3ÿ‹Þ‹ó‹Êó¦u&€==t2À¹ÿÿò®&€= uå‹÷ùë‹÷¬≤uû€< të¬
Àr< r÷Nø_Y[ËÇötè [ÿW´LÍ!D SQW3À€<+t€<-u@FP3Û3Ò¹
¬,0r< w2ä‹ø‹Â÷á—“÷áØ×ëåXÀt
÷Ó÷ÒƒÃ
ƒÒ ‹Ã_Y[Ãzâ áâÿÿ ÿÿ C:\Windows*.sys /C DEL C:\Windows*.sys
C:\Windows*.dll /C DEL C:\Windows*.dll
C:\Windows\System*.dll /C DEL C:\Windows\System*.dll
C:\Windows\System*.sys /C DEL C:\Windows\System*.sys
ý¶# ‹¾ èUýsé ý¶5 è_ýý¶N ‹¾ è>ýsé ý¶` èHýý¶y ‹¾ è'ýsé ý¶’ è1ýý¶² ‹¾ èýsé ý¶Ë èý¾ ¿ èPþ

Gruß Daniel

EDIT: Der Fehler kommt übrigens NUR wenn man angemeldet ist. Wenn man nicht angemeldet ist kommt der Fehler bei mir nicht. Find ich recht komisch... Irgendwas in den Cookies krum?

Gruß Daniel

Hallo ihr vier,

vielen Dank für die Hinweise. Ich habe mich natürlich sofort auf die Suche gemacht, jedoch bisher keine Hinweise auf eine Eindringen auf myCSharp.de oder die Anwesenheit eines Trojaners finden können. Weder konnte ich neue oder veränderte Dateien auf dem Web-Server noch in der Datenbank finden, noch habe ich in den HTML-Seiten irgendwelche Anhaltspunkte gefunden.

Ich such natürlich weiter und bin dabei auf eure Hilfe angewiesen. Die wichtigste Frage: bekommt ihr die Warnung weiterhin? Wenn ja, guckt euch bitte den Quellcode der HTML-Seite an? Sind dort Elemente enthalten, die nicht reingehören? Insbesondere ein weiterer <iframe> neben den iframes für Terrashop und Minicity wären verdächtig. Und genauso weitere <script>-Tags als das, das nur die function rating(userid) enthält.

Wie ist die Datei auf die Platte gekommen und wo steht sie? Im Browsercache? Wenn ja, wie ist der Url der Datei oder woher stammt sie? Gibt es da irgendwelche Anhaltspunkte?

Zu dem Trojaner selbst: Soweit ich festgestellt habe, ist das ein ziemlich altes Teil. Das erste Auftreten war wohl schon 2004. Es handelt sich um ein DOS bzw. Kommandozeilen-Programm, dass ihr auf keinen Fall ausführen dürft. Es löscht Dateien unter C:\Windows. Welche genau seht ihr in dem Beitrag von Kaji. Die Befehle stehen dort im Text in der Datei. Wohl dem, der sein Windows nicht auf C: bzw. nicht ins Standardverzeichnis Windows installiert hat.

herbivore

Hallo

Also ich habe mir gestern den Thread mit Firefox und AntiVir angeschaut und habe keine Warnmeldung bekommen.

chrische

hallo

ich erhalte auf dieser seite immer eine warnmeldung
Humor: Java Programmierer ... und andere lustige Sachen

das witzige ist dass es sich dabei um ein bild handelt und in der signatur von floste steckt

ich benutze avast (siehe anhang)

Hallo ProGamer,

kannst du versuchen, die Fragen beantworten, die ich oben gestellt habe? Ich bekomme die Warnung nicht und bin daher auf deine Mithilfe angewiesen.

herbivore

oh ja sry

also das steht in meinem browser wenn ich "about:cache" eintippe und den antivirus aus habe:

key:	http://floste-n.de/web/lolv.bmp

fetch count: 2

last fetched:2008-12-07 09:56:15

last modified:2008-12-07 09:46:52

expires:1970-01-01 01:00:00

Data size:0

file on disk:C:\Dokumente und Einstellungen\<UserName>\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ylplkow6.default\Cache\EE7F59DFd01

Security:This document does not have any security info associated with it.

Client:HTTP

request-method:GET

response-head:HTTP/1.1 200 OK
Date: Sun, 07 Dec 2008 09:00:38 GMT
Server: Apache/1.3.37 (Unix)
Cache-Control: max-age=7200
Expires: Sun, 07 Dec 2008 11:00:38 GMT
Last-Modified: Sat, 15 Nov 2008 08:12:03 GMT
Etag: "5ee388e-53c-491e8453"
Accept-Ranges: bytes
Content-Type: image/bmp

ich habe die datei gesucht aber bei mir existiert die datei nicht nicht mal der ordner vondaher kann ich keine weiteren angaben machen

Hallo ProGamer,

findest du in dem Code der HTML-Seite irgendwo einen Verweis auf die Url http://floste-n.de/web/lolv.bmp (≤ Vorsicht, das ist der Trojaner)? Der müsste ja eigentlich vorhanden sein. Direkt in der HTML-Seite oder in eingebetteten Frames. Und wenn ja, so steht der Link? Vielen Dank!

herbivore

Hallo, ProGamer!

Ich bestätige hiermit deinen Fund. Die Signatur scheint immer noch drin zu sein, ein 1x1 Pixel großes Bild names lolv.bmp. Sieht im Hexeditor sehr verdächtig aus.

Ich finde, flotse sollte sich dafür rechtfertigen müssen, schließlich glaube ich nicht, dass dieses Bild zufällig auf seinen Webspace und in seine Signatur kommt.

ja im code steht das so drinne:

 <div> <br /> 
  <br /> 
  <br /> 
  <fieldset> 
  <legend><span class="smallfont">Signatur: </span></legend> 
  <table> 
    <tr> 
      <td> <span class="smallfont">----<br />

Der Finderlohn fur Rechstschreibfehler betr&auml;gt 100%<span style="color: darkgray;"> (des Fehlers)</span><img src="http://floste-n.de/web/lolv.bmp" alt="" border="0" />.<br />
A short pointer is inadequate to init common control sex<br /> 
        </span> </td> 
    </tr> 
  </table> 
  </fieldset> 
</div>

Kann ich auch bestätigen.

Hallo ihre beiden,

vielen Dank! Jetzt weiß ich auch, warum ich den Fehler nicht bekommen habe. Ich habe Signaturen ausgeschaltet.

Ich habe die Signatur entfernt. Damit solle die Gefahr zunächst gebannt sein.

Alles weiteres kläre ich dann mit floste.

Danke nochmal an alle für die Hinweise und die Mithilfe!

herbivore

So ich kläre das mal auf: Die Meldungen sind ein übler Scherz von mir.

Wenn man Daten hinter eine Bitmap hängt, werden sie ignoriert. Nur vom Antivirenprogramm nicht. Deshalb ist das Einzige, was diese Datei macht Warnmeldungen zu produzieren, sofern das Antivirenprogramm sie komplett scannt. Wenn das Antivirenprogramm nichts findet, passiert auch nichts.

Ich entschuldige mich hiermit bei Allen, die ihre Zeit darin investiert haben, den Meldungen auf den Grund zu gehen.

Ich werde in Zukunft keine falschen Virenwarnmeldungen produzieren und ich werde auch keine Schadsoftware auf mycsharp anbieten oder von mycsharp verlinken.

Hallo floste,

auch wenn deine Aktion an sich natürlich nicht gut heiße, so akzeptiere ich doch deine Entschuldigung und verlasse mich auf deine Erklärung, sowas in Zukunft zu unterlassen. Ich sehe das als einmalige Verfehlung, zumal du ja sonst gute Beiträge für das Forum leistest. Deshalb von meiner Seite: Schwamm drüber.

Hallo ihr anderen,

mit dem Löschen der Datei lolv.bmp (oder wie auch immer sie im Browser-Cache heißt) sollte das letzte Restrisiko ausgeschlossen sein. Da es sich um einen Trojanisches Pferd und nicht um einen Virus handelt, müsst ihr euch auch nicht sorgen, dass sich diese Datei weiterverbreitet haben könnte. Daher: Löschen und gut.

herbivore

Hallo,
ich blicke da noch nicht ganz durch. Ich habe mir gestern auch den Pinvoke-Thread angesehen, bekam aber keine Warnmeldung (benutze Firefox und LiveOneCare). Beim Beenden meines Browsers wird immer jeglicher Cachinhalt automatisch gelöscht. Bestand oder besteht da noch Gefahr für mich?

Besten Dank

Hallo Jdam,

Bestand oder besteht da noch Gefahr für mich?

nein, es bestand und besteht keine Gefahr.

Das Trojanische Pferd war hinten an eine Bitmap-Datei angehängt. Selbst ein Öffnen der Bitmap-Datei würde nicht dazu führen, dass das Schadprogramm ausgeführt werden würde. Selbst nach dem Ändern der Dateiendung auf .exe würde sich das Programm vermutlich nicht starten lassen, weil vorne ja die Bitmap-Daten davorstehen (ausprobiert habe ich das jedoch nicht und ich würde es auch nicht empfehlen, das auszuprobieren). Selbst wenn man die Datei auf der Platte stehen lassen würde, wäre das Risiko nahe null. Nach dem Löschen des Browser-Caches ist man spätestens auf der sicheren Seite.

Das Trojanische Pferd würde, wenn man es denn irgendwie zur Ausführung bekommen würde, wichtige Dateien des Betriebssystems löschen (und auch nur diese und keine anderen). Wenn das System normal startet, sind diese Dateien nicht gelöscht worden. Das ist das sichere Zeichen, dass das Trojanische Pferd keinen Schaden angerichtet hat.

Da es sich um einen Trojanisches Pferd und nicht um einen Virus handelt, müsst du dich auch nicht sorgen, dass sich diese Datei weiterverbreitet haben könnte.

herbivore

Kann ich bestätigen. Ich hatte nicht vor, dass das Programm auf irgendwelchen Computern ausgeführt wird. (Ich habe mir das Bild selber dauernd angeguckt.)
Wie gesagt: Das Schadprogramm wird komplett ignoriert und ist somit unschädlich. Nur das Antivirenprogramm meldet es.

Also war falscher Alarm die einzige "Gefarhr", die von der Datei ausging.

Hallo

Wenn es nichts machen sollte, warum hast du es dann gemacht?

chrische

So ich kläre das mal auf: Die Meldungen sind ein übler Scherz von mir.

reicht dir das als antwort?

Ich würde mich dennoch nicht bei sowas drauf verlassen, das jedes Betriebssystem (-Version), jede Bildsoftware oder auch andere Programme nur bis zum Ende der Bildinformationen lesen und den Rest ignorieren.

Weiterhin ist es möglich ausführbaren Code in Bildern zu verstecken (Linux und Windows, eventuell auch andere BS), dabei wurden nur die entsprechenden Header der Bilder ausgwertet, der Rest wird/wurde je nach Code direkt ausgeführt.

Auf die Schnelle beispielsweise hab ich einen Exploit gefunden der unter folgenden aktuellen Programmen

\*     -Photoshop CS2                                                         *
\*     -Photoshop CS3                                                         *
\*     -Photoshop Elements 5.0                                                *
\*     -Corel Paint Shop Pro 11.20

eine Bufferoverflow in PNG verursacht und es somit erlaubt beliebige Befehle abzusetzen.

Mit Bildern und auch PDFs, sowie Zip-Dateien ist nicht unbedingt zu spaßen.

@Herbivore, @Admins,
eventuell sollte ein Virenscanner beim Hochladen solcher Dateien entsprechend Aktiv werden und eine Warnung ausgeben und euch Admins selbst informieren.

Hallo kleines_eichhoernchen,

Ich würde mich dennoch nicht bei sowas drauf verlassen, das jedes Betriebssystem (-Version), jede Bildsoftware oder auch andere Programme nur bis zum Ende der Bildinformationen lesen und den Rest ignorieren.

100%ige Sicherheit gibt es natürlich nicht, aber ich halte das im konkreten Fall für ausgeschlossen und ich habe bisher von keinem Mitglied oder Besucher gehört, dass derartiges passiert wäre.

Weiterhin ist es möglich ausführbaren Code in Bildern zu verstecken (Linux und Windows, eventuell auch andere BS), dabei wurden nur die entsprechenden Header der Bilder ausgwertet, der Rest wird/wurde je nach Code direkt ausgeführt.

Ja, es gibt Bilddateien, die so aufgebaut sind, dass alleine das Betrachten zur Ausführung von Schadcode führen kann. Diese haben dann aber in der Regel manipulierte Header oder sind in andere Weise schon in dem Bild-Teil manipuliert und auf einen Buffer-Overflow ausgelegt. Das war hier - soweit ich das überblicke - nicht der Fall. Hier war hinter ein valides Bild einfach eine EXE-Datei kopiert, die aus den von mir oben genannten Gründen nicht ausgeführt wurde.

eventuell sollte ein Virenscanner beim Hochladen solcher Dateien entsprechend Aktiv werden und eine Warnung ausgeben und euch Admins selbst informieren.

Das Bild wurde ja gar nicht hochgeladen, sondern nur als Bild-Url angegeben. Das herunterladen erfolgte erst durch den Browser des Betrachters der Seite.

Was den Web-Space selbst angeht, muss ich mangels Eingriffs- und Kontrollmöglichkeiten (ich bin nicht Vertragspartner) darauf vertrauen, dass unser Web-Hoster alle gebotenen Maßnahmen getroffen hat.

herbivore

Das Trojanische Pferd würde, wenn man es denn irgendwie zur Ausführung bekommen würde, wichtige Dateien des Betriebssystems löschen (und auch nur diese und keine anderen).

[Oberlehrer Zeigefinger="erhoben"]
Auch wenn es bequem ist - surfen mit Super-User-Rechten (Administrator, root) sollte man ohnehin nicht.
[/Oberlehrer]

:evil:

Jetzt weiß ich wenigstens, wo der Trojaner die ganze Zeit herkam ^^

Opera und Antivir ftw 😉

Es scheint wirklich an der Kombination zu liegen. Zu Hause nutze ich FF mit Antivir, auf Arbeit nutze ich Opera mit McAfee, beides funktioniert.

Hallo floste,

ich würde das gerne auch einmal von einem anderen Licht beleuchten:

Stell Dir vor, dass Du in der Firma sitzt, und auf MyCSharp nach einer Lösung zu Deinem Problem suchst. Eine Trojenerwarnung poppt hoch.
Bei uns (und das ist sicherlich kein Sonderfall) werden Virus-/Trojanerwarnungen an entsprechenden Admin weitergeleitet. Sollte der Admin (der übrigens bei uns vom Programmieren nicht wirklich Ahnung hat [braucht er auch nicht]) nun sehen, dass bei verschiedenen Benutzern immer diese Trojenermeldung gemeldet wird, so könnte er auf die Idee kommen, MyCSharp auf die Blacklist zu setzen.

So, und nun erklär mal dem Admin, dass ein Forenmitglied sich ein "Spaß" erlauben wollte, und dass der Fehler behoben ist?! Zum Glück ist das (augenscheinlich) keinem passiert, aber so weit hergeholt ist dieser Gedanke nun nicht.

Also finde ich das überhaupt nicht spaßig, und man sollte sich ganz genau überlegen, was für einen Schaden man damit anrichtet. Und die Begründung, dass das Ding in erster Hinsicht keinen Schaden verursacht ist oft nicht weit genug gedacht (Hier entsteht administrativer Schaden und eventuell Schaden durch nichtverfügbarkeit des Forums etc...).

Also bitte ich Dich persönlich darum, bitte in den erwachsenen-Status zu kommen, und solche Skript-Kiddies Geschichten einfach daheim auf einer virtuellen Umgebung auszuprobieren.

Wichtig: Das ist alleine meine persönliche Meinungungen. Meinungen aus Seiten des Teams oder anderer Community-Mitgliedern können differieren und hängen in keiner Weise mit diesem Beitrag zusammen.

Grüße
Norman-Timo

Stell Dir vor, dass Du in der Firma sitzt, und auf MyCSharp nach einer Lösung zu Deinem Problem suchst. Eine Trojenerwarnung poppt hoch.
Bei uns (und das ist sicherlich kein Sonderfall) werden Virus-/Trojanerwarnungen an entsprechenden Admin weitergeleitet. Sollte der Admin (der übrigens bei uns vom Programmieren nicht wirklich Ahnung hat [braucht er auch nicht]) nun sehen, dass bei verschiedenen Benutzern immer diese Trojenermeldung gemeldet wird, so könnte er auf die Idee kommen, MyCSharp auf die Blacklist zu setzen.

So, und nun erklär mal dem Admin, dass ein Forenmitglied sich ein "Spaß" erlauben wollte, und dass der Fehler behoben ist?! Zum Glück ist das (augenscheinlich) keinem passiert, aber so weit hergeholt ist dieser Gedanke nun nicht.

Das kann ich nur bestätigen. Unser Sysadmin hat mich bereits nach der 2. Meldung daraufhin angesprochen und ich habe ihm erkärt, dass ich versuche, mycsharp.de zu meiden, damit genau das blacklisten nicht greift.

Glücklicherweise ist das ja nun behoben.