13198
24.04.2006, aktualisiert am 27.04.2006
5220
9
0
Trojaner Troj def.bci auf fast allen Netzrechnern
hallo, hab den besagten Tojaner auf sehr vielen Clients, auf den ersten Blick sind es die Clients die nicht aktuell gepatcht sind. Eine verdächtige E-Mail habe ich nicht gefunden, muss sich wohl übers Netz verbreiten. Auf den Antivirusherstellerseiten ist das Teil auch nicht aufgeführt. Hat mir jemand infos zu dem Virus? troj-def.bci
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 30667
Url: https://administrator.de/contentid/30667
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
9 Kommentare
Neuester Kommentar
Wenn Du sagst, Du hast den Trojaner troj-def.bci, woher weißt Du das dann?
Der Trojaner kann nur den Namen haben, wenn er schon irgendwo bekannt ist...
(AV-Hersteller)
Willst Du Ihn entfernen?
Ich denke, das ganze ist ein Browser-Plugin, oder irre ich mich da?
Welches OS hast Du?
Hast Du schon Spybot S&D und Adaware probiert?
Pest Patrol und XoftSpy auch schon?
Lonesome Walker
Der Trojaner kann nur den Namen haben, wenn er schon irgendwo bekannt ist...
(AV-Hersteller)
Willst Du Ihn entfernen?
Ich denke, das ganze ist ein Browser-Plugin, oder irre ich mich da?
Welches OS hast Du?
Hast Du schon Spybot S&D und Adaware probiert?
Pest Patrol und XoftSpy auch schon?
Lonesome Walker
trend micro erkennt ihn ja auch, nur findet sich bei denen unter diesem namen kein virus oder trojaner. Und ich glaube nicht, dass meien User alle auf der gleichen Internetseite waren und sich das Teil eingefangen haben. Muss sich anders weiterverbreiten.
Ich hatte letztens einen der sich über das M$ Filesharing Protokoll weiter verbreitet hatte nur leider kenne ich den Namen nicht mehr.
Was ist also Dein Problem, wenn TrendMicro ihn erkennt?
Löschen lassen, fertig.
Oder willst Du grundlegend wissen, was der Trojaner macht?
Trojaner löchern das System nach außen hin, und machen es somit zugreifbar.
Zuzüglich bieten sie die Möglichkeit, div. Schädlinge "nachzuladen".
(sogenannte "Dropper")
Naja, den Rest des Horror-Szenarios erspare ich Dir mal, sollte man ja wissen...
(Keylogger, Screen-Capturing...)
Lonesome Walker
Löschen lassen, fertig.
Oder willst Du grundlegend wissen, was der Trojaner macht?
Trojaner löchern das System nach außen hin, und machen es somit zugreifbar.
Zuzüglich bieten sie die Möglichkeit, div. Schädlinge "nachzuladen".
(sogenannte "Dropper")
Naja, den Rest des Horror-Szenarios erspare ich Dir mal, sollte man ja wissen...
(Keylogger, Screen-Capturing...)
Lonesome Walker
hi wie kann ich kontrollieren ob er es so gemacht hat? er hieß Troj_delf.bci sorry tippfehler
ja schon klar was der machen kann, nur möchte ich eben wissen wo er sich genau festsetzt und was er macht bzw. wie er sich weiterverbreitet. Hab hier noch ein paar clients ohne Virenschutz (sind nicht im Internet usw.)
hmm du willst also wissen wo sie sich standart mäsig absetzen? nun ja da hab ich ne menge erfahrung gemacht mit viren,trojanern,exploits,java und bla was es noch gibt.
So, zur sache:
erst mal solltest du schauen was für prozesse bei dir laufen,z.B mit hijack durch laufen lassen. und hier dann rein posten ich sag dir dann wo und was faul ist. Meist verstecken sie sich in system32,windows,oder versteckt direkt auf deine festplatte als uploads. oder halt der temp ordner wo der internet cache rein kommt, oder unter programme wie toolbars und spysheriff.
so erstmal poste hijack log rein dann sehen wir weiter.
So, zur sache:
erst mal solltest du schauen was für prozesse bei dir laufen,z.B mit hijack durch laufen lassen. und hier dann rein posten ich sag dir dann wo und was faul ist. Meist verstecken sie sich in system32,windows,oder versteckt direkt auf deine festplatte als uploads. oder halt der temp ordner wo der internet cache rein kommt, oder unter programme wie toolbars und spysheriff.
so erstmal poste hijack log rein dann sehen wir weiter.
gut, ich hasse langsam den administrator.de server, immer wenn es eines laengeren kommentars zu posten bedarf, werde ich von dem ding rausgeworfen und ich kann alles noch einmal schreiben.
also von neuem:
erstellt und/oder manipuliert folgende ordner bzw. prozesse:
-version B: Delf.ao.zip, Delf.u.zip, Scanregw.exe, Kernel32.exe
-version C: Carved.jpq, Syst.exe, Delf.k.ini, 4.html, Scsi.sys, Scsi_dd.sys, Scsi2.sys, Scsi3.sys, Taskmon.exe
ausserdem erstellt er dateien mit folgender groesse:
-version A: 484,352 bytes
-version C: 165,888 bytes
-version D: 522,754bytes , 529,408 bytes und 569,344 bytes
-version F: 231,424 bytes und 252,928 bytes
modifiziert/erstellt folgende registry-eintraege:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_CLASSES_ROOT\txtfile\shell\open\command
befaellt alle versionen von NT. alle versionen XP und W2K
Das "delf" im namen steht fuer "DELPHI", denn dieser trojaner ist in delphi geschrieben.
er hebelt deine firewall/ av-loesung aus, etabliert einen remote acces auf deinen rechner, loggt alles mit und stiehlt deine passwoerter, zerschiesst dir zuletzt das system (schutzmechanismus).
einmal auf einem rechner, sucht das schadprogramm nach freigaben im netzwerk und verbreitet sich so innerhalb des netzwerks weiter.
saludos
gnarff
also von neuem:
erstellt und/oder manipuliert folgende ordner bzw. prozesse:
-version B: Delf.ao.zip, Delf.u.zip, Scanregw.exe, Kernel32.exe
-version C: Carved.jpq, Syst.exe, Delf.k.ini, 4.html, Scsi.sys, Scsi_dd.sys, Scsi2.sys, Scsi3.sys, Taskmon.exe
ausserdem erstellt er dateien mit folgender groesse:
-version A: 484,352 bytes
-version C: 165,888 bytes
-version D: 522,754bytes , 529,408 bytes und 569,344 bytes
-version F: 231,424 bytes und 252,928 bytes
modifiziert/erstellt folgende registry-eintraege:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_CLASSES_ROOT\txtfile\shell\open\command
befaellt alle versionen von NT. alle versionen XP und W2K
Das "delf" im namen steht fuer "DELPHI", denn dieser trojaner ist in delphi geschrieben.
er hebelt deine firewall/ av-loesung aus, etabliert einen remote acces auf deinen rechner, loggt alles mit und stiehlt deine passwoerter, zerschiesst dir zuletzt das system (schutzmechanismus).
einmal auf einem rechner, sucht das schadprogramm nach freigaben im netzwerk und verbreitet sich so innerhalb des netzwerks weiter.
saludos
gnarff
Moin,
1.
Wenn Du die Säuberungsaktion fährst (am besten Abends oder am WE), dann trenne ALLE Clients und Server vom Netzwerk! Manche Trojaner "flüchten" auf andere erreichbare Rechner.
2.
a)
Ich hoffe, Du hast nun gelernt und spendierst JEDEM angreifbaren Device im Netzwerk einen entsprechenden AV-Schutz.
b) Patche alle Clients. Aktiviere die Automatischen Updates des Clients. Prüfe mal Deine Sicherheitsrichtlinien der Domäne. Z.B. sollten User die Update-Funktion nicht deaktivieren können.
Gruß, Rene
1.
Wenn Du die Säuberungsaktion fährst (am besten Abends oder am WE), dann trenne ALLE Clients und Server vom Netzwerk! Manche Trojaner "flüchten" auf andere erreichbare Rechner.
2.
a)
Ich hoffe, Du hast nun gelernt und spendierst JEDEM angreifbaren Device im Netzwerk einen entsprechenden AV-Schutz.
b) Patche alle Clients. Aktiviere die Automatischen Updates des Clients. Prüfe mal Deine Sicherheitsrichtlinien der Domäne. Z.B. sollten User die Update-Funktion nicht deaktivieren können.
Gruß, Rene
