Hackerboard WikiHaboBlog

[HaBo]

 
News & Ankündigungen Aktuelle News rund ums Netz - recherchiert von unseren Usern, sowie offizielles vom Team und Ankündigungen der Moderatoren findet ihr hier.

Neuer Trojaner namens "QHOST"

Diskussion: Neuer Trojaner namens "QHOST" im Forum News & Ankündigungen, in der Kategorie Allgemeines; Wie das Security-News-Portal in seiner neuen Ausgabe berichtet, wurde vorgestern in Australien eine Trojaner namens "QHOST" gefunden, der User unter ...
Antwort
Themen-Optionen Ansicht
   
Alt 03.10.03, 17:26   #1 (permalink)
Rushjo
Guest
 
Likes:
Standard Neuer Trojaner namens "QHOST"


Wie das Security-News-Portal in seiner neuen
Ausgabe berichtet, wurde vorgestern in Australien eine Trojaner namens "QHOST"
gefunden, der User unter Ausnutzung einer Sicherheitslücke im IE nur durch reines
Betrachten einer Website infiziert. Danach ändert er die DNS-Server-Einträge und
leitet damit alle "Suchmaschinen-Anfragen" an eine bestimmte Domain um. Dabei
ging man anfangs von aus, das es sich um einen Angriff auf VeriSign handeln könnte,
obwohl das ganze eher den Eindruck macht, als wenn hier Jemand lediglich das
"Buisness-Modell" von VeriSign nur kopiert und damit eine Suchmaschine "pushen"
will.

Zitat:
Auswirkungen des Trojaner QHOST
1. A user is directed to a web site that contains Exploit-ObjectData code. NOTE: The MS03-032 patch does not protect against this attack vector. This allows for the
automatic execution of VBScript contained in an HTML file (x.hta)

2. This VBScript drops the file AOLFIX.EXE in the %TEMP% directory

3. This dropped AOLFIX.EXE is run, which may perform different tasks (2 variants
are known to exist)

4. The VBScript creates the file O.BAT, which cleans up after the trojan by deleting
the dropped AOLFIX.EXE file and the O.BAT file
Tja, da verschwimmen die Grenzen zwischen Spam, Trojaner und "gekauften Links"
immer mehr!

[1] Quelle (english)

MfG Rushjo

Nachtrag zu Trojaner:

Wie wir aus aktueller Quelle zusätzlich noch berichten können, gibt es auch in
Deutschland erste ähnliche Versionen. So tauchte ein Trojaner auf ( <-- bisher
noch ohne Namen, aber wir nennen ihn mal pPp_M) und legt nach der
Infektion des Rechner über den Bug des IE eine Datei namens "hosts" ohne
Dateityp-Bezeichung in Verzeichnis %windir%\help an und ändert danach die
Registry-Einträge unter "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services \
Tcpip\Parameters "DataBasePath"" so, das alle Anfragen an Suchmaschinen an
eine bestimmte IP umgeleitet werden. Hier mal ein Auszug der Datei "hosts":

Zitat:
Inhalt der Datei "hosts"

...............
207.44.194.56 www.google.akadns.net
207.44.194.56 www.google.com
207.44.194.56 google.com
207.44.194.56 www.altavista.com
207.44.194.56 altavista.com
207.44.194.56 search.yahoo.com
207.44.194.56 uk.search.yahoo.com
207.44.194.56 ca.search.yahoo.com
207.44.194.56 jp.search.yahoo.com
207.44.194.56 au.search.yahoo.com
207.44.194.56 de.search.yahoo.com
207.44.194.56 search.yahoo.co.jp
...............
Ausserdem legt er noch eine Datei namens %WinDir%\winlog (wieder ohne
Endung), in dieser steht lediglich "A" drin.

Mal ein paar Informationen zu IP, die der Trojaner dann ansteuert.

Zitat:
Whois-Auskunft zur IP

OrgName: Everyones Internet, Inc.
OrgID: EVRY
Address: 2600 Southwest Frwy., Suite 500
City: Houston
StateProv: TX
PostalCode: 77098
Country: US
Der Rechner mit der IP ist zwar pingbar, aber anscheint kein Webserver, sodass es
sich auch um ein dDoS handeln könnte. Weitere Erkenntnisse zum Trojaner muss
man erstmal abwarten.
  Mit Zitat antworten
Alt 04.10.03, 11:41   #2 (permalink)
Rushjo
Guest
 
Likes:
Standard
So, jetzt gibt es endlich einen Patch für die Sicherheitslücke im IE (MS03-040).
Diese Sicherheitslücke wird von vielen Dialern und Trojaner ausgenutzt.

So hier ist der Patch.

[1] Quelle (english)
[2] Sicherheitspatch (Download)
[3] Sicherheitspatch (Direkt-Download)

MfG Rushjo
  Mit Zitat antworten
   
HaBOT
 

Werbung ist gerade online    
Alt 03.12.03, 19:06   #3 (permalink)
 
Registriert seit: 03.12.03
Falkenberg Leistung: Facit NTK
Likes: 0
Standard
Hallo!

Folgendes: ich habe einen Trojaner auf meiner festplatte.. TR/QHOST.A.2

er wird von der ad aware gefunden.. aber er kann nicht gelöscht werden.

Jetzt hab ich IE gepached und was weiß ich noch alles.. aber ich bekomm ihn einfach nicht los... *grummel*
weiß jemand Hilfe?

Im Übrigen bin ich zwar kein absoluter Neuling, aber nicht soo bewandert... in die regedit finde ich allerdings schon...

Wäre über Hilfe sehr dankbar!

Falkenberg
Falkenberg ist offline   Mit Zitat antworten
Antwort
   

Werbung ist gerade online    

[HaBo] » Allgemeines » News & Ankündigungen » Neuer Trojaner namens "QHOST"
« Vorheriges Thema | Nächstes Thema »
Themen-Optionen
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Namens- und Ahnenforschung Mieze HaBo Lounge 4 05.01.07 22:02
schrift meines css namens ändern weesl Games 7 22.12.05 18:04
neuer Wurm namens Sobig Ghost News & Ankündigungen 13 23.08.03 22:19
Google startet kostenpflichtigen Dienst namens "Google Answers" Tec News & Ankündigungen 7 23.04.02 13:34
Ein Wurm namens "CU LATER"? Rushjo Virenschutz · Tools & Aggressive Software 1 04.12.01 08:41

Alle Zeitangaben in WEZ +1. Es ist jetzt 10:04 Uhr.
vBulletin® v3.8.7, Copyright ©2000-2012, vBulletin Solutions, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61