Frage zur Wirkungsweise von Exploits

[sunset_rider]

Hallo,

Beim wöchentlichen Scan fand Antivir ein Java Exploit. So weit so gut. Sonst wurde nichts gefunden, aktiv ist nichts und war nach meiner Beobachtung auch nicht. Ist wohl richtig, Virustotal lieferte folgendes: http://www.virustotal.com/vt/en/resultadof?06e121dd8e9850c4cdc5c3ba1c99decc

Ich habe im Kaspersky Forum folgenden thread gefunden: http://forum.kaspersky.com/lofiversion/index.php/t40924.html

Dort heißt es: "Nein, der hat dich nicht ausspioniert, das wäre gemeldet worden. Möglicherweise ist dein Java sowieso zu neu, sodass das Exploit nicht wirken kann, da dafür alte, ungepatchte Javaversionen benötigt werden. Da das Exploit sich im Cache-Ordner befindet, hat es keinen Schaden angerichtet."

"Genau kenne ich diesen Schädling nicht. Allerdings sind Exploits Scripte oder Programme die Fehlfunktionen oder Sicherheitslücken von anderen Programmen ausnutzen. In deinem Fall sollte wohl eine Sicherheitslücke von Java ausgenutzt werden.
Die Datei befindet sich im Cache von Java, dort werden Java-Objekte (bzw. Teile von Java-Anwendungen) gespeichert, die zB im Browser ausgeführt wurden. Du solltest dein Java immer aktuell halten, denn Java wird häufiger aktualisiert und Sicherheitslücken geschlossen."

Inwiefern kann bedeutet eine Datei im Cache Ordner, dass diese noch keinen Schaden angerichtet hat?
Ich denke mir das so: Ausgehend von der hoffentlich korrekten Einstufung als Exploit bei kaspersky und Avira arbeitet ein Exploit ja nicht wie eine Backdoor. Wenn nichts zu finden ist, wurde vermutlich auch nichts geladen. Was meinst Du dazu?

Wäre für Aufklärung dankbar.

Gruss, Philipp

 

[-Kenny-]

Dort heißt es: "Nein, der hat dich nicht ausspioniert, das wäre gemeldet worden. Möglicherweise ist dein Java sowieso zu neu, sodass das Exploit nicht wirken kann, da dafür alte, ungepatchte Javaversionen benötigt werden. Da das Exploit sich im Cache-Ordner befindet, hat es keinen Schaden angerichtet."

Der "Kollege" hat da wohl recht viel Mülll zusammengeschrieben.
- "wäre gemeldet worden" -> *lol* er glaub sicher auch an den Weihnachtsmann
- "Möglicherweise ist dein Java sowieso zu neu" -> ach echt? und das schützt? klar ist es sicherer, aber niemals 100%ig sicher
- "im Cache-Ordner ... hat es keinen Schaden angerichtet" -> Ein Schädling kann überall gestartet werden, auch im Cache auf der Festplatte.


Hier ist ne gute Erklärung: Exploits

Du kannst solche Bedrohungen niemals verallgemeinern.
Das Ding mußt du entfernen, zur Not mit anderen Tool wenns mit AntiVir nicht geht. Und natürlich solche Programme auf den neuesten Stand bringen und alle Sicherheitspatches von Windows installieren.
Könnte sein, dass es jemand verwenden kann, um deinen PC als Virenschleuder, illegalen Fileserver oder als Ausgangspunkt von Attacken verwendet (so allg.)
Rechtlich gesehen hättest du dann Schuld.

mfg
-Kenny-

 

[sunset_rider]

Rechtlich gesehen hättest du dann Schuld.

mfg
-Kenny-

Danke für die Infos bis hierhin.

Naja, dafür müsste aber zumindest eine Fahrlässigkeit vorliegen, so wie: Ich gehe trotz wissen um bestehenden Schädling ins Netz. Wenn ich entsprechende Schutzmaßnahmen ergreife (Virenscanner), alles aktuell halte (was ich tue), 1x wöchentlich scanne und Funde wie diesen verfolge und ausschalte, im Ernstfall durch Neuinstallation, dann wird man mir wohl kaum ans Leder können, wenn doch irgendwas nach draußen funkt. Mehr als die Sorgfaltspflicht zu erfüllen kann doch niemand.

Ich bleibe an dem Ding auf jeden Fall dran. Bislang scheint es weg zu sein. War wie gesagt nach meiner Beobachtung auch nicht aktiv, im Sinne von Windowsprozess (durch Folgeinfektion). Habe auch gelesen es soll nur mit dem IE funtionieren, setze aber Firefox ein.
Was würdet ihr denn im Ernstfall als universelles Cleaningtool nehmen? Was spezielles gibt es nach meiner Recherche nicht.

Gruss, Philipp

 

[markus1234]

Poste sicherheitshalber mal ein HiJackThis-Logfile.
Link in meiner Signatur.

mfg,
Markus

 

[sunset_rider]

Danke für das Angebot. 4 Augen sehen mehr als nur 2.


--------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 15:28:52, on 22.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - D:\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - D:\Last Minute Gebot\plmg.exe (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121354609328
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1173977772828
O17 - HKLM\System\CCS\Services\Tcpip\..\{73C259C7-D476-496B-9A14-A46926723BE0}: NameServer = 217.237.150.115 217.237.151.205
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\Norton Ghost 2003\GhostStartService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

[markus1234]

Sieht gut aus, aber man kann ja nie wissen.
So bald du größere Mengen von außerplanmäßigem Traffik wahrnimmst und dir sicher bist, dass dieser nicht von bekannten Anwendungen stammt -> Formatieren.

mfg,
Markus

 

[sunset_rider]

Ja, das ist klar. Dafür mache ich alle 2 Monate ein Rundumimage aller Partitionen. Hatte ich aber noch NIE. Never ever. Antivir hat bei mir im Laufe der Zeit seit 2002 wohl so an die 10 Schädlinge dingfest gemacht. Bis auf die Blaster-Infektion im Herbst 2003 war stets nichts außer der virulenten Datei zu finden. Keine Prozesse, nichts Auffälliges.
Traffic ist auch ok. Das würde mir sofort auffallen.

 

[markus1234]

I.d.R. bietet jeder Schädling mindestens einen deftigen Grund zum Formatieren - Ungewissheit über eventuelle Systemmodifikationen.

mfg,
Markus

 

[sunset_rider]

Das stimmt allerdings. Behalte die Sache im Auge. Sobald was anschlägt, wird ein Image draufgemacht.
Da es hier aber um ein Exploit und nicht um eine backdoor geht, habe ich aber ganz gute Hoffnung, dass der das, was er tun wollte, nicht erreicht hat.

 

[markus1234]

Du scheinst nicht zu verstehen.

Es ist ein Fakt, dass der Exploit kurzzeitig Zugriff auf dein System hatte.
Evtl. hat er ein Türchen für schlimmeres geöffnet, dafür werden die sogenannten "Codeausführungen" nämlich meistens benötigt.

Das "schlimmere" findet seinen Weg dann automatisch in dein System.

mfg,
Markus