Allgemeine Fragen zu Trojaner - backdoor.Win32.PoeBot.d

Dieses Thema im Forum "Sicherheit" wurde erstellt von launchee, 19. Juli 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. launchee

    launchee Byte

    Registriert seit:
    25. April 2005
    Beiträge:
    22
    Hallo alle zusammen.
    Mein AVK hat gestern ein Backdoorprogramm gefunden: backdoor.Win32.PoeBot.d
    Und zwar in C:\Programme\Winrar und dort in der uninstall.exe. Hab dazu paar Fragen: die uninstall.exe gibt es dort ja auch schon.

    1) Ist es dann so, dass sich dieses Backdoor-Programm
    in ein normales .exe einistet? Hab gedacht, der BackdoorTrojaner ist ein eigenes , separates exe file

    2) Und warum dann ausgerechnet in die uninstall.exe von Winrar ??

    3) Wird der Backdoor-Trojaner erst gestartet, wenn ich uninstall.exe ausführen würde? (Das habe ich nicht gemacht) oder auch schon so ohne explizites Ausführen der uninstall.exe

    4) Ich habe zuvor ein Image der Festplatte angelegt gehabt, und dieses jetzt wieder auf die Systempartition
    zurückgespielt. Dann müsste ja wohl auch der Backdoor etc. auch weg sein. Ist ja wie eine Formatierung der Festplatte ... ?!

    Noch eine Frage: Ich überlege mir ein DSL Modem/Router mit integrierter Firewall zu kaufen. (z.B. die AVM FRITZ!Box Fon).
    5) Sind diese externen Firewalls sicherer?

    Ich benutze z.Zt. GData AVK Virenscanner und ZoneLabs_free und MS AntiSpy. Ich war auch in nicht in einem Messenger, Chat und mache kein Filesharing. Trotzdem habe ich irgendwie dieses
    Backdoorprogramm bekommen.

    6) Sollte ich noch einen zusätzlichen TrojanerScnner installieren. Was haltet ihr von a-squared. Oder evtl andere?

    Ich danke Euch für die Antworten. Ciao, Kai
     
  2. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    0) Bitte ändere deine Überschrift:
    http://www.pcwelt.de/forum/faq.php?faq=forum_rules#faq_forum_aussagekräftigeüberschriften

    :danke:

    1) mal so, mal so. Bist du sicher, dass es die uninstall.exe dort vorher schon gab? Dessenungeachtet gibt es auch schon mal Fehlalarme.

    2) Da musst du den Virenautor fragen. Allerdings hier nochmal der Hinweis auf einen Fehlalarm.

    3) Erst nach starten der exe. Allerdings kann auch ein anderes, unentdecktes Programm diese exe starten. Solche sich gegenseitig startenden Schädlinge sind recht häufig.

    4) Ja, nach dem Image ist alles sauber, wenn das Image sauber war :D

    5) Sicherer als desktop-Firewalls ? Ja. Ob eine Firewall sinnvoll ist, steht auf einem anderen Blatt. Der Normalsurfer und Firewall-Laie ist am besten mit der WInXP-Firewall bedient.

    6) Nein, die Erkennungsrate dieser Trojanerscanner ist zu mies, um sich drauf verlassen zu können. Andere Sicherungsmaßnahmen sind viel effektiver und wichtiger. Siehe hierzu
    http://dedies-board.de/wbb2/thread.php?postid=760#post760
     
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    zu 1.)
    Also das ist im Nachhinein schwer zu sagen, normalerweise legen Backdoors eigene exe Dateien an, können aber auch durchaus bestehende exe Dateien verändern bzw. infizieren.
    Übrigens ein wenig info zu dem Backdoor:
    http://www.sophos.de/virusinfo/analyses/w32poebotd.html
    zu 2.)
    Wie schon oben gesagt prinzipiell geht das mit jeder exe Datei, aber eigentlich denke ich das das ganze ein Fehlalarm war, was sich ja leider nicht mehr verifizieren läßt, zukünftig würde ich dir vorschlagen wenn du einen Virenalarm hast noch mla die Datei hier gegenzuchecken.
    zu 3.)
    Also, wenn du dir jetzt Winrar aus einer unseriösen Quelle geladen hättest(was eigentlich nicht die Verbreitungsart des Backdoors ist, Stichwort Netzwerkfreigaben) dann infizierst du dein System erst wenn du die betreffende Datei ausführst, nicht allein durch das Runterladen.
    zu 4.)
    Ja, neues Image aufspielen ist eine sichere Variante der Virenbeseitigung, wenn auch, wie oben schon erwähnt, in deinem Fall wahrscheinlich unnötig.
    zu 5.)
    Ja Hardwarefirewalls(z.B. weil sie eine NAT-Funktion haben) sind deutlich sicherer als Softwarefirewalls(falls man bei diesen überhaupt von zusätzlicher Sicherheit reden kann)
    Gerade von Zonelabs halte ich ja überhaupt nichts, aber wenn dei Firewall ohne Probleme läuft, ist es deine Entscheidung. Wenn du deine Fritzbox installiert hast, hat aber Zonealarm keine Funktion mehr und sollte deinstalliert werden. Du kannst dann noch deine Netzwerkfreigaben schließen, z.B. mit diesem Script, aber selbst das ist eigentlich hinter einem Router unnötig.

    zu 6.)
    Also als zusätliche Spywarescanner kannst du noch Spybot und Adaware installieren, damit du ganz auf der sicheren Seite bist. Aber viel wichtiger als installierte Programme ist das regelmäßige und zeitnahe patchen Sicherheitsrelevanter Programme, wie OS, Browser, JAVA usw. und natürlich nicht auf alles klicken was schön bunt ist, aber den Eindruck hinterläßt du eigentlich nicht.

    EDIT:
    Toll, mal wieder zu langsam gewesen, naja doppelt gemoppelt hält besser :D
    Grüße Jasager
     
  4. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    So ist das, wenn man über 20 Minuten an einem Beitrag tippt :p

    Aber besser so, als wenn du überall das Gegenteil behauptet hättest :D
     
  5. launchee

    launchee Byte

    Registriert seit:
    25. April 2005
    Beiträge:
    22
    So, erstmal Vielen Dank für Eure Antworten. Sorry wegen der Überschrift, habs nicht gewusst. War keine Absicht!. Werd das gleich ändern (wenn man das jetzt noch machen kann).

    Also die uninstall.exe hat es definitiv schon vorher gegeben. Bin eigentlich eher zufällig draufgekommen: Ich hab MS AntiSpy gestartet, da kam dann was von einem Programm etc. (weiß aber die genaue Beschreibung nicht mehr). Hab dann einen Scan mit MS AntiSpy gemacht, und dann kam während des Scanns der GDataWächter, dass das MSAntiSpy auf eine infizierte Datei zugreifen will (nämlich die uninstall.exe). Dann nochmal Scan mit GData gemacht mit Ergebnis, dass die uninstall.exe infiziert ist. Von alleine hätte mir das AVK anscheinend nicht Bescheid gegeben. Ist doch so, dass gerade die files/ordner untersucht werden, mit denen man gerade arbeitet ... ?!

    Hab mir Winrar übrigens von www.winrar.de geholt (ist doch die offizielle Seite?!). Die ganzen Sicherheitsupdates werden immer installiert etc. und ich surfe mit Firefox. Also, die meisten der Sicherheitseinstellungen habe ich schon zuvor gemacht, bzw. mache so weiter...

    Also merci nochmal. Ciao, kai
     
  6. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Also, wie Jasager und ich oben schon geschrieben haben, tendiert es wohl zu einem Fehlalarm. Hatte ich im Frühjahr auch mal, Kaspersky meckerte nach einem Update über eine selten benutzte Datei in einem ANwendungsprogramm, 3 Stunden später nach einem erneuten Update war der Spuk vorbei....:nixwissen
     
  7. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    hier ist die MD5 Prüfsumme der "uninstall.exe" WinRar Version 3.42 deutsche Version (virenfrei):

    bf43ba768bbf20fec4980ea86196128d *uninstall.exe

    vergleiche die mit deiner Prüfsumme

    Wolfgang77
     
  8. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Ich hätte ja auch gesagt, er solle die Datei online scannen lassen, aber er hat ja schon das Image drübergebügelt und seither keinen Alarm-wenn ich ihn richtig verstanden habe...:confused:
     
  9. launchee

    launchee Byte

    Registriert seit:
    25. April 2005
    Beiträge:
    22
    Sevus nochmal. Danke für die Prüfsumme. Normalerweise handelt es sich ja auch nach dem Image um diesselbe datei wie vorher. Wo kireg ich aber das Programm zum Check der Prüfsumme her? Übrigens: Wenn ich nochmal Virenfragen habe, schicke ich dann einfach das file als Anhang hier ins Board???
    CU, Ciao+Merci, Kai
     
  10. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
  11. launchee

    launchee Byte

    Registriert seit:
    25. April 2005
    Beiträge:
    22
    Hallo. Wichtige Neuigkeiten!!!!!
    Ratet mal, was ich gerade bei winrar.de gelesen habe:

    Erneut Fehlalarme (F-Secure / GData)
    Erneut Fehlalarme (F-Secure / GData)18.07.2005
    Die aktuellen Versionen von F-Secure und GData-Antivirenkit melden einen Backdoor-Virus in WinRARs uninstall.exe.

    Es handelt sich um einen Fehlalarm.

    Teile der WinRAR-Installationsdatei werden mit upx.com gepackt, einem Laufzeitkomprimierer, der gelegentlich auch von Virenprogrammierern zum Verkleinern schaedlicher Programme eingesetzt wird.
    Leider verwechseln Antivirenprogramme deshalb die Signatur von upx gelegentlich mit der Signatur von schaedlichen Programmen.
    Mit der naechsten Virendefinition Ihres Virenwaechters wird sich das Problem wahrscheinlich erledigt haben.

    Da diese Fehlalarme auch in der Vergangenheit recht haeufig aufgetreten sind, wird rarlab.com mit der Version 3.50 von WinRAR auf die Komprimierung des Distributionsarchivs weitgehend verzichten.


    Tja, so kann's gehen.. hab mich schon gewundert, wie ich den Trojaner bekommen haben sollte ...Ja Steppl, die Überschrift: ganz allgmein im speziellen ... LOL
    also, Servus und schönen Abend noch und nochmals recht herzlichen Dank für Eure Hilfe! Sehr nett!
     
  12. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    naja die Drammatik erschließt sich mir jetzt nicht so ganz:

    [EDIT]
    Ursprüngliches Postig von launchee(nur zum Verständnis):
    [/EDIT]
    Zitat steppl:

    Zitat Ich
    Und wo du eine Datei bei Virenverdacht hinschicken kannst hatte ich dir doch bei Beantwortung deiner zweiten Frage schon gepostet.


    Grüße Jasager
     
  13. launchee

    launchee Byte

    Registriert seit:
    25. April 2005
    Beiträge:
    22
    Das mit der "Dramatik" ist ja auch nur ironisch gemeint ;-)
    Auf alle Fälle merci für Deine Tipps. Hab das schon gerade gelesen, wegen dem upload von infizierten dateien.
    ... ciao, kai
     
  14. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    oh, da hatte ich wohl meinen Ironiedetektor ausgeschaltet, nichts für ungut.


    Grüße Jasager
     
  15. launchee

    launchee Byte

    Registriert seit:
    25. April 2005
    Beiträge:
    22
    .. oder ich hätte ;-) gemacht, dafür sind sie ja da :-)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen