{"id":254076,"date":"2021-05-28T12:19:19","date_gmt":"2021-05-28T10:19:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=254076"},"modified":"2021-05-29T19:50:29","modified_gmt":"2021-05-29T17:50:29","slug":"neues-python-virus-fr-windows-mit-unbekannter-herkunft-gefunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/05\/28\/neues-python-virus-fr-windows-mit-unbekannter-herkunft-gefunden\/","title":{"rendered":"Neues (Python-)Virus f&uuml;r Windows mit unbekannter Herkunft gefunden"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/05\/28\/new-python-virus-for-windows-found-with-unknown-origin\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Blog-Leser Christian hat mich gestern per Mail kontaktiert, weil er bei einigen seiner Kunden auf ein bisher vom Microsoft Defender nicht erkanntes Virus (Trojaner) gesto\u00dfen ist. Allzu viele Informationen zum Sch\u00e4dling liegen noch nicht vor &#8211; leider gibt es auch keinen Scan bei VirusTotal. Ich stelle aber mal die Informationen ein, die Christian bereits herausgefunden hat &#8211; vielleicht st\u00f6\u00dft jemand von Euch auf weitere Informationen. <strong>Erg\u00e4nzung:<\/strong> Informationen eines weiteren Blog-Lesers mit neuen Erkenntnissen hinzu gef\u00fcgt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/cadc1d58ec7745979bfc28baf0a9d126\" alt=\"\" width=\"1\" height=\"1\" \/>Hier der Text, den mir Blog-Leser Christian zugeschickt hat. Er hat den neuen Virus auf 3 PCs (zwei unabh\u00e4ngige Kunden) gefunden. Ziel des Sch\u00e4dlings ist es, Internet-Konten auszusp\u00e4hen (darunter u.a. von Paypal und von Banken). Was Christian bisher herausgefunden hat, ist:<\/p>\n<ul>\n<li>Dass das Schadprogramm in Python geschrieben wurde.<\/li>\n<li>Die Malware speichert sich in %appdata%\/ wobei als Dateiname eine zuf\u00e4llige Buchstabenkombination verwendet wird.<\/li>\n<li>Die Malware taucht im Windows-Autostart als Programm \"Python*\" (* steht f\u00fcr irgendwas) auf. Der Name der exe-Datei lautet <em>ctfmon.exe <\/em>(in Anlehnung an die Windows Systemdatei).<\/li>\n<li>Die Malware richtet einen geplanten Task mit einem aus einer zuf\u00e4lligen Folge von Gro\u00df- und Kleinbuchstaben als Namen ein. Die Aufgabe wird t\u00e4glich ausgef\u00fchrt und l\u00e4dt ein Update.<\/li>\n<li>Der Sch\u00e4dling\/Virus ist im Taskmanager als <em>msbuild.exe <\/em>mit ca. 80 MB Arbeitsspeicherverbrauch zu sehen.<\/li>\n<li>Der Virus lauscht auf localhost:8000 und tr\u00e4gt sich im System (Internet Explorer -&gt; Internetoptionen) als Proxy f\u00fcr https und http ein. Firefox nutzt diesen Proxy standardm\u00e4\u00dfig.<\/li>\n<\/ul>\n<p>Dieser Sch\u00e4dling, so schreibt Christian, wird vom MS Defender noch nicht gefunden. Erstmals tauchte der Sch\u00e4dling am 09.04.2021 auf, wobei die Herkunft unklar ist. Vermutet wird eine Verbreitung per E-Mail, eine lokale Verbreitung im Netzwerk ist ggf. m\u00f6glich. Letzteres nimmt Christian an, weil er bei einem Kunden den Sch\u00e4dling auf zwei Rechnern vorgefunden hat.<\/p>\n<p>Die Malware leitet leitet s\u00e4mtlichen (Internet-)Traffic (https und http) \u00fcber sich um, kann also die dort ausgetauschten Daten abziehen. Der Grund, warum der Sch\u00e4dling \u00fcberhaupt aufgefallen ist:\u00a0 Seit einiger Zeit ist wohl das Zertifikat abgelaufen, wie Christian mir schrieb. Das hat zur Folge, dass im Browser Fehlermeldungen auftauchen. Sein Kunde Nr. 1 wurde stutzig und hat sich bei ihm gemeldet. Der zweite Kunde wurde von der Bank informiert, da ungew\u00f6hnliche Transaktionen bemerkt wurden.<\/p>\n<h2>Erg\u00e4nzende Informationen<\/h2>\n<p>Inzwischen hat mir Blog-Leser Volker B. neuen Informationen zukommen lassen (danke daf\u00fcr). Volker hat den Sch\u00e4dling bei einem Kunden auf einem System vorgefunden und schrieb mir dazu.<\/p>\n<blockquote><p>Ich komme gerade vom Kunden, genau das vorgefunden was hier beschrieben wurde. Ich habe die Dateien aus dem Appdata gesichert. Interessant ist, wie der Kunde darauf gekommen ist. Es gab eine Zertifikatsmeldung, die er immer mit nein beantwortet hat und auch nicht mehr ins Internet konnte:<\/p><\/blockquote>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" title=\"Zertifikatswarnung\" src=\"https:\/\/i.imgur.com\/f5jqS8x.png\" alt=\"Zertifikatswarnung\" width=\"602\" height=\"613\" \/><\/p>\n<p>Volker schreibt weiterhin: <em>Der Prozess h\u00e4ngte im Autostart, diesen gekillt, Ordner gel\u00f6scht und den Proxy aus den Einstellungen entfernt, schon l\u00e4uft es mit dem Internet wieder. Der Sch\u00e4dling lief wohl seit Mittwoch 26.05. auf dem System. <\/em><\/p>\n<p>Die Datei hat er bei virustotal.com <a href=\"https:\/\/www.virustotal.com\/gui\/file\/cec3bbda27b49f5bcb8f563edbcd9372e03689ee0c62a00ab727640ed28d4a6f\/detection\" target=\"_blank\" rel=\"noopener\">hochgeladen<\/a> (ich habe es nochmals hochgeladen), hier wurde nichts erkannt:<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/EuSVSoU.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"\" src=\"https:\/\/i.imgur.com\/EuSVSoU.png\" alt=\"VirusTotal-Ergebnis\" width=\"643\" height=\"209\" \/><\/a><\/p>\n<p>Ich habe die betreffende Datei nun bei Microsoft auf <a href=\"https:\/\/www.microsoft.com\/en-us\/wdsi\/filesubmission?persona=HomeUser\" target=\"_blank\" rel=\"noopener\">dieser Seite<\/a> f\u00fcr verd\u00e4chtige Dateien hochgeladen und den Analysten einen Link zu meinem englischsprachigen Blog-Beitrag geschickt. Bleibt zu hoffen, dass da jemand zeitnah dr\u00fcber schaut und die Microsoft Scan Engine bald die betreffenden Signaturen bekommen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Blog-Leser Christian hat mich gestern per Mail kontaktiert, weil er bei einigen seiner Kunden auf ein bisher vom Microsoft Defender nicht erkanntes Virus (Trojaner) gesto\u00dfen ist. Allzu viele Informationen zum Sch\u00e4dling liegen noch nicht vor &#8211; leider gibt es auch &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/05\/28\/neues-python-virus-fr-windows-mit-unbekannter-herkunft-gefunden\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,3740],"class_list":["post-254076","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-virus"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254076","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=254076"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/254076\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=254076"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=254076"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=254076"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}