{"id":309,"date":"2006-11-29T20:35:45","date_gmt":"2006-11-29T18:35:45","guid":{"rendered":"http:\/\/www.glorf.it\/blog\/2006\/11\/29\/windows-tools\/mein-erster-trojaner"},"modified":"2006-11-29T20:35:45","modified_gmt":"2006-11-29T18:35:45","slug":"mein-erster-trojaner","status":"publish","type":"post","link":"http:\/\/www.glorf.it\/blog\/2006\/11\/29\/windows-tools\/mein-erster-trojaner","title":{"rendered":"Mein erster Trojaner"},"content":{"rendered":"<p>Na prima, da habe ich doch meinen ersten Trojaner entdeckt. Leider habe ich keine Ahnung wie er auf mein System kam. Da ich in letzter Zeit mit ziemlich vielen Programmen rumexperimentiert habe, ist das nicht so genau zu sagen. Vielleicht sollte ich mir mal die &quot;Software Virtualization Solution&quot; von Altiris ansehen, um Software in einer virtualisierten Umgebung zu testen ohne gleich jedesmal eine VM-Ware zu starten. <\/p>\n<p>Gemeinerweise fand ihn mein Virenscanner nicht, auch auf der Virenscanseite von <a href=\"http:\/\/virusscan.jotti.org\/de\/\">jotti.org<\/a> erkannte ihn keiner der 15 als Sch&#228;dling. Lediglich NOD32 merkte aufgrund der heuristichen Analyse an, dass dies m&#246;glicherweise ein Sch&#228;dling sei.<\/p>\n<p>Immerhin hat McAfee aufgrund meiner Einsendung gleich regiert. Im ersten Durchlauf schrieben die AVERT(tm) Labs, Aylesbury, UK bereits am gleichen Tag: <\/p>\n<blockquote><p>We have examined the file and didn&#x0027;t see anything suspicious. As an additional test, we tried to run it on a test system and observed no<br \/>\nsuspicious behaviour.<\/p>\n<p>If you still believe this is a virus or trojan file, please provide more<br \/>\ninformation on why you feel this is a suspect file.<\/p><\/blockquote>\n<p>Es ging um die Datei &quot;C:\\WINDOWS\\system32\\clipboard.exe&quot;. Sie behauptete von sich von Microsoft zu stammen, hatte aber eine ziemlich MS-untypische Versionsnummer, geh&#246;rte angeblich zu Windows 2000 (ich habe XP) und sei in &quot;China (VR)&quot; hergestellt worden.<br \/>\nAu&#223;erdem lief der Prozess permanent und hatte sich in der Registry eingetragen:<\/p>\n<p><code>[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]<br \/>\n&quot;clipboard.exe&quot;=&quot;C:\\\\WINDOWS\\\\system32\\\\clipboard.exe&quot;<br \/>\n<\/code><\/p>\n<p>Nach dem Anmelden startete ein Browserfenster und leitete mich auf eine mir unbekannte Webseite (irgendwas unter www.coolsheep.com, aber die Seite konnte wegen eines JS-Fehlers nicht dargestellt werden). Nach dem Austragen aus dem AutoRun war das Verhalten weg.<\/p>\n<p>Nachdem ich Avert das geschrieben hatte, wurde die Datei als &quot;Generic Backdoor.b&quot; klassifiziert und mir eine neue Signaturdatei zur Verf&#252;gung gestellt, die den Sch&#228;dling einwandfrei identifizierte und l&#246;schte. Sie kommt mit dem n&#228;chsten Update an alle Kunden. Offenbar hatte ich Gl&#252;ck, weil kein weiterer Schaden entstand&#8230;<\/p>\n<p>Auf die Schliche kam ich dem Fie&#223;ling &#252;brigens mit der Werkzeug <a href=\"http:\/\/www.hijackthis.de\/de\">HijackThis<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Na prima, da habe ich doch meinen ersten Trojaner entdeckt. Leider habe ich keine Ahnung wie er auf mein System kam. Da ich in letzter Zeit mit ziemlich vielen Programmen rumexperimentiert habe, ist das nicht so genau zu sagen. Vielleicht sollte ich mir mal die &quot;Software Virtualization Solution&quot; von Altiris ansehen, um Software in einer [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[13,8],"tags":[],"_links":{"self":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/309"}],"collection":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/comments?post=309"}],"version-history":[{"count":0,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/309\/revisions"}],"wp:attachment":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/media?parent=309"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/categories?post=309"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/tags?post=309"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}