Gerade das System halbwegs neu aufgesetzt und Java-nocheat eingefangen.
Die Anleitung auf wildersecurity.com hab ich gelesen; gehts auch einfacher? Hat jemand von Euch mit diesem oder ähnlichen Teilen Erfahrung?
sapere aude
a4.
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
-IRON- 
Amenophis IV „Java-Trojaner“
Ich wäre selber ganz gern an einer derartigen Erfahrung interessiert. Wo hast du dir das Teil gefangen? So, wie sich die Beschreibung seiner Aktivitäten liest, ist das Teil ja auf den IE ausgerichtet, da es dessen Zoneneinstellungen usw. manipuliert. Würde gern mal probieren, was Mozilla damit anfängt. Falls dir die Quelle bekannt ist, schick mal per Mail nen Link zur Quelle, falls sie dir bekannt ist.
xafford Amenophis IV „Java-Trojaner“
am eunfachsten wäre es, die microsoft VM aus dem system zu verbannen und die VM von SUN zu installieren, da diese nicht über den speziellen exploit verfügt. ansonsten einfach den Java-Cache leeren und sich durch die registry wühlen und die gemachten änderungen durch den trojaner rückgängig machen. ist zwar nicht einfach, aber einen cleaner für den relativ neuen schädling scheint es nicht zu geben. falls du genaueres über die änderungen wissen willst: viruslist-Java.Nocheat
Teletom Amenophis IV „Java-Trojaner“
Hi,
Java-nocheat wurde am 10. September der Symantec-Antiviren-Datenbank hinzugefügt:
http://securityresponse.symantec.com/avcenter/defs.added.html
(bis September 10 scrollen)
Versuch mal den Symantec-Security-Check:
http://security.symantec.com/sscv6/default.asp?productid=ssr&langid=ie&venid=sym
Gruß
Teletom
Amenophis IV Nachtrag zu: „Java-Trojaner“
Grrr - das hat man von einem fröhlichen Arbeitstag...Das Teil scheint noch recht neu zu sein. Hauptquelle angeblich Filesharing, aber das kann ich fast mit Sicherhet ausschließen.
Nach einigen Problemen mit der alten Startplatte habe ich gestern neu aufgesetzt. Weil ich "ansich" Java schön finde, den IE 5 genommen und auf 6 geupdated (wenn ich es recht weiß, enthält 6 zunächst keine VM mehr). Aufgspielt war also 6 + SP1
Opera war noch nicht aufgespielt (auch sonst halt noch alles 'nackt') und deshalb einen halbe Tag lang 'die Scheune offen.' Je nun. Ich ärgere mich kräftig.
@xaff: Ja, hatte auch auf der alten Platte SUN...
@IRON: Möglicherweise ausgerechnet bei der Suche nach 'Look 'n' stop' eingefangen - bei einem Download, bin noch auf der Suche; ggfs. mail, denke ich. Im Moment weiß ich noch nicht mal, nach was ich alles suchen muß ):
Links neben dem von xaff:
http://securityresponse.symantec.com/avcenter/venc/dyn/15625.html (ja, steht nix drin, aber immerhin war die Definition in meiner Liste.......man sieht: updaten !!!)
http://www.wilderssecurity.com/index.php?board=30;action=display;threadid=13039;start=0
Ich weiß noch nicht so Recht, ob ich das ganze System nochmal platt machen soll, wird auch nicht mehr Arbeit sein ?
Gruß
a4.
Amenophis IV Nachtrag zu: „ Grrr - das hat man von einem fröhlichen Arbeitstag...Das Teil scheint noch...“
PS: Diese seltsam-widersprüchliche Meldung kommt vom Virencheck (die erste Zeile in dickem rot):
undefined files scanned, undefined file(s) infected on your disk drives.
No viruses were detected in memory.
Your computer is free of known viruses and Trojan horses. Virus Detection does not check compressed files.
Your computer appears safe for now. If you want to protect your computer from viruses, hackers and privacy threats, upgrade to Norton Internet Security.
xafford Amenophis IV „ PS: Diese seltsam-widersprüchliche Meldung kommt vom Virencheck die erste...“
irgendwie werde ich aus deinen postings nicht so ganz schlau. hast du nun eine VM installiert, die MS VM,, oder die SunVM?
wenn du keine, oder die von SUN hast, so sollte Java.Nocheat keinen schaden angerichtet haben, geladen kann er trotzdem werden, ist aber inaktiv. am besten schaust du dir einmal die registry-pfade an, welche von ihm manipuliert werden. sind diese okay, dann kannst du mit ziemlicher sicherheit davon ausgehen, daß keine gefährdung vorliegt und die *.class dateien einfach wie beschrieben löschen.
Amenophis IV xafford „irgendwie werde ich aus deinen postings nicht so ganz schlau. hast du nun eine...“
>>>irgendwie werde ich aus deinen postings nicht so ganz schlau.
Tja, liegt sicher an mir; ich möchte ganz genau sein, aber manchmal kommt das der Vielfalt wegen irgendwie gegenteilig an:
Ich HATTE auf der alten Platte SUN
Ich HABE jetzt MS VM - die ich im Lauf der Zeit (durch SUN) ersetzt hätte, wenn die Installation nicht gerade erst einen knappen Tag alt und deshalb noch ziemlich rudimentär, also löchrig wäre.....
(JAP, mit dem ich manchmal arbeite, beispielsweise braucht Java).
Ist denn abschätzbar, was Nocheat anstellen will? - nachdem ich leider des programmierens unfähig bin, hab ich davon wenig Ahnung....
xafford Amenophis IV „ irgendwie werde ich aus deinen postings nicht so ganz schlau. Tja, liegt sicher...“
wenn ich mich mit dem link nicht vertan habe bei viruslist.com, dann steht da ziemlich genau, was Java.Nocheat macht. kurz umrissen ersetzt er in der registry alle einträge für suchseiten (da wo im normalfall die microsoftsuche kommt z.b. bei nicht gefundenen urls) durch frei definirbare einträge, er legt die startseite auf eine frei wählbare seite fest, legt eine seite unter die favoriten und nimmt einträge in der HOSTS vor. allerdings ist das alles optional und durch aufrufe des applets steuerbar.
das vorhandensein der class-dateien sagt aber noch nciht aus, ob der trojaner erfolgreich arbeiten konnte, da erst einmal geladen wird und dann laufzeitkompiliert. ist die VM nicht anfällig, so sollte der trojaner keinen schaden anrichten können, da es eine MS VM spezifische lücke ist, die er ausnutzt um im lokalen kontext zu arbeiten. auch die sicherheitseinstellungen oder die benutzerrechte können dem trojaner einen strich durch die rechnung machen.
-IRON- Amenophis IV „ PS: Diese seltsam-widersprüchliche Meldung kommt vom Virencheck die erste...“
LOL. Entscheidend ist die wundervolle Formulierung free of known viruses...
Übrigens so neu ist das Teil gar nicht so neu, sondern wurde Ende Juli gemeldet.
Grossadministrator Amenophis IV „Java-Trojaner“
Dieses Teil ist so alt, das es nur auf ungepatchten Java-Maschinen läuft:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=JAVA_NOCHEAT.A
Also vielleicht erst mal nach dem Neu-Installieren Windows-Update durchführen UND einen Virenscanner verwenden.
