Liebe EE'ler

Gestern (9. April 2007) wurde hier ein angeblicher Musikplayer "swchost.exe" veröffentlicht, mit folgendem Text:

Ein böser User hat folgendes geschrieben:

Vorab erstmal: Das hier ist eines meiner ersten Projekte, also schohnt mich etwas falls er noch nicht so gut ist. Also was kann er? - Id3-Tags auslesen und ändern - Natürlich die üblichen Abspielfunktionen - Musikbibiothek verwalten - Albumcovers aus dem Internet besorgen - Und vieles mehr Der Name des Players ist mal entstanden als ich mit einem Freund gechattet habe, weiß auch nichtmehr wie^^. Seither heißt der so. Wäre über Feedback sehr erfreut! -Ein böser User-

Dieser "Player" stürzte bei einigen mit einer verdächtigen Fehlermeldung ab, blieb aber weiter im Hintergrund aktiv. Wer mit Adminrechten unterwegs war, der dürfte jetzt eine Kopie des Programms im Windowsordner haben und einen Registry-Eintrag unter HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run, der die Kopie beim Systemstart lädt.
Das Ganze hat sich durch weitere Programmierfehler als Keylogger entpuppt, auch wenn gängige Antiviren-Programme nichts zu beanstanden haben.

Leider können wir nicht mehr nachvollziehen, wer dieses Programm heruntergeladen hat. Im Zweifelsfall im Windowsordner nach einer "swchost.exe" suchen und diese löschen. Ebenso sämtliche Registry-Einträge, die mit swchost zu tun haben. Vorsicht: swchost, nicht svchost!


Wir bitten für diese Dreistigkeit eines Users um Entschuldigung,

das Team der Entwickler-Ecke

okay....
was soll das denn?!

Was habt ihr mit dem 'bösen User' gemacht?

Man gut, dass ich nur Nemp benutze....

Marco D. hat folgendes geschrieben:

Was habt ihr mit dem 'bösen User' gemacht?

Gefedert, geteert, gevierteilt und erhängt... vielleicht auch in anderer Reihenfolge

Moin!



Ich würde vorschlagen, das File in die "in-the-wild"-List aufnehmen zu lassen oder zumindest bei www.kaspersky.com (unten am Rand) zu melden, damit sowas erkannt wird.

cu
Narses

@Team: Die *.exe bitte umgehend an AntiVir (virus@avira.de) melden*. Danke.

@Fabian E.: Nicht das erste mal. Ich bin mal auf nen Trojaner hier im DF reingefallen. Resultat war, dass ich bei einigen Account (DF, eMail, ...) nicht mehr einloggen konnte. Hat sich aber erledigt, der Bösewicht war so nett und hat mir das neue PW mitgeteilt.


*Als passwortgeschüzte RAR/ZIP-Datei. PW in der eMail mitteilen.

Gausi hat folgendes geschrieben:

Das Ganze hat sich durch weitere Programmierfehler als Keylogger entpuppt, auch wenn gängige Antiviren-Programme nichts zu beanstanden haben.

ich weiß auch warum...
es passiert gar nichts wenn man seine keyloggerfunktion als thread weiterlaufen lässt....
über Getasynckey kann man den kram dann auslesen...

GTA-Place hat folgendes geschrieben:

@Fabian E.: Nicht das erste mal. Ich bin mal auf nen Trojaner hier im DF reingefallen. Resultat war, dass ich bei einigen Account (DF, eMail, ...) nicht mehr einloggen konnte. Hat sich aber erledigt, der Bösewicht war so nett und hat mir das neue PW mitgeteilt.

na das war aba nett von ihm...

GTA-Place hat folgendes geschrieben:

@Team: Die *.exe bitte umgehend an AntiVir (virus@avira.de) melden*. Danke.

Ist längst (heute mittag 12:31) passiert.

schön!

Gern auch an free-olli att f-prot dott com

Kann man den Keylogger überhaupt registrieren wenn er über Getasynckey läuft? Er muss ja eigentlich nur die Dateigröße ändern und nichts geht mehr!

stigge hat folgendes geschrieben:

Kann man den Keylogger überhaupt registrieren wenn er über Getasynckey läuft? Er muss ja eigentlich nur die Dateigröße ändern und nichts geht mehr!

Wie Jetzt...

naja ich denk mal er hat sich gedanken über die erkennungsmerkmale eines virus gemacht...
und dann kam er zu dem schluss, das das wohl über die größe passiert...
also denk ich jetzt mal
würd mich aber auch mal interessieren!
also kla ich weiß nicht ob er über getasynckey läuft..aber ich weiß, dass es so möglich ist...

Blackheart666 hat folgendes geschrieben:

stigge hat folgendes geschrieben: Kann man den Keylogger überhaupt registrieren wenn er über Getasynckey läuft? Er muss ja eigentlich nur die Dateigröße ändern und nichts geht mehr! Wie Jetzt...

Wie werden den Viren erkannt? Soviel ich weiß an speziellen Funktionen. Aber er schreibt ja nur auf wenn eine Taste gedrückt wird. Und man kann ja nicht jedes Programm, das eine Tastatureingabe abfängt als Virus deklarieren

Fabian E. hat folgendes geschrieben:

naja ich denk mal er hat sich gedanken über die erkennungsmerkmale eines virus gemacht... und dann kam er zu dem schluss, das das wohl über die größe passiert... also denk ich jetzt mal würd mich aber auch mal interessieren! also kla ich weiß nicht ob er über getasynckey läuft..aber ich weiß, dass es so möglich ist...

Hätte gedacht das es schon sicher ist das es darüber lief

neeee

ich hab nur halt selbst mal sowas damit gemacht..
daher weiß ich das...
das ganze läuft im prinzip dann super nur hast du halt immer ne 100% CPU auslastung
weil er halt ständgi überrüft ob eine tast gedrückt ist!
wie ist das eigentlich bei spielen? ehemn die da hooks?
weil bei meinen hooks geht immer mein antivir los...

Ich glaube hier sind die Profis unterwegs Stigge & Fabian E... (Aufpass)

kla
ne keine ahnung....
mich hats damals eigentlich nur interessiert ob ich sowas hinbekomme...
leider ging es... trotz antivir & co...
naja solang ich es nicht hier hoch stelle

...sondern bei der Konkurrenz
Ne Scherz, ein Globaler Hook hätte es genauso sein können, das geht auch ohne dass AntiVir und Co. zuschlagen. Würden die grundsätzlich bei Tastatur- und Maushooks zuschlagen, könnte man sie auch gleich komplett abschaffen (außer bei den paar gutgläubigen, die keine Vienprogramme haben, die würde es vllcht stören )

Gruß
alias5000

ah okay...
das wusste ich nicht!
dann lag das wohl eher an meinem (nicht)können bei hooks!