Donnerstag, 7. Februar 2013

Malware-Befall

Just 2 Tage nachdem bei einem Kunden ein ähnliches Problem aufgetreten war, schreit mein Microsoft Security Essentials: Befall.

Unter C:\Users\<name>\AppData\Roaming\ gibt es einen Unterordner Aqqaca mit denDateien:

  • libnspr4.dll 10 KB
  • ynrow.exe 434 KB
ynrow.exe habe ich bei virustotal.com hochgeladen. Mageres Ergebnis: Von 45 Rechnern erkennen 4 die Datei als Schädling:
  • CAT-QuickHeal - (Suspicious) DNAScan
  • Kingsoft - Win32.Troj.Undef.(kcloud)
  • McAfee-GW-Edition - Heuristic.LooksLike.Win32.Suspicious.C
  • SUPERAntiSpyware - Trojan.Agent/Gen-Dlg- DNAScan
In der Registry findet sich unter

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ein entsprechender Eintrag.

Nach Beenden des Tasks im Taskmanager kann man die Dateien problemlos löschen.

Was ist das? Bei dem betreffendem Kunden gab es verdoppelte Zeichen bei Tastaturanschlägen. Bei mir ist kein Problem aufgetreten.

Nach http://forum.botfrei.de/showthread.php?9809-Google-Links-werden-umgeleitet&p=88300 scheint der Infektionsweg via Java-Lücke aufgetreten zu sein.


Keine Kommentare:

Kommentar veröffentlichen