Trojanerwarnung

Übersicht

Sonstiges

News

	YellowRider Ehemaliger Admin Betreff: Trojanerwarnung	So, Dez 28, 2008 23:08 Antworten mit Zitat
Im Forum der englischen BlitzBasic Community wurde ein infiziertes Programm, getarnt als Test einer Partikel-Engine, verteilt. Dieser Trojaner dient dazu, den Computer auszuspionieren und dadurch Passwörter aufzuzeichnen. Wenn ihr das Programm getestet habt, ändert bitte all eure Passwörter. Es ist nicht bekannt, ob der Virus von Virenscannern erkannt wird oder wie man ihn entfernt. Von einer Neuinstallation des Betriebssytems sollte man nicht absehen. Dieser Vorfall hängt mit hoher Wahrscheinlichkeit mit dem Handel geklauter blitzbasic.com Accounts letzter Zeit und mit dem heutigen Vorfall in den News zusammen. RELATED NEWS Meldung eines Datenschutzverstoßes RELATED TOPIC Warnung im englischem Forum RELATED TOPIC Thread des Trojaners im englischen Forum

YellowRider

Ehemaliger Admin

Betreff: Trojanerwarnung

So, Dez 28, 2008 23:08
Antworten mit Zitat

Im Forum der englischen BlitzBasic Community wurde ein infiziertes Programm, getarnt als Test einer Partikel-Engine, verteilt. Dieser Trojaner dient dazu, den Computer auszuspionieren und dadurch Passwörter aufzuzeichnen. Wenn ihr das Programm getestet habt, ändert bitte all eure Passwörter. Es ist nicht bekannt, ob der Virus von Virenscannern erkannt wird oder wie man ihn entfernt. Von einer Neuinstallation des Betriebssytems sollte man nicht absehen.

Dieser Vorfall hängt mit hoher Wahrscheinlichkeit mit dem Handel geklauter blitzbasic.com Accounts letzter Zeit und mit dem heutigen Vorfall in den News zusammen.

RELATED NEWS Meldung eines Datenschutzverstoßes
RELATED TOPIC Warnung im englischem Forum
RELATED TOPIC Thread des Trojaners im englischen Forum

Zuletzt bearbeitet von YellowRider am So, Dez 28, 2008 23:20, insgesamt 3-mal bearbeitet

	Der Eisvogel	So, Dez 28, 2008 23:10 Antworten mit Zitat
Wie heißt denn dieses Programm?
Ungarische Notation kann nützlich sein. BlitzMax ; Blitz3D Win 7 Pro 64 Bit ; Intel Core i7-860 ; 8 GB Ram ; ATI HD 5750 1 GB Projekte: Window-Crasher Ich liebe es mit der WinAPI zu spielen.

Der Eisvogel

So, Dez 28, 2008 23:10
Antworten mit Zitat

Wie heißt denn dieses Programm?

Ungarische Notation kann nützlich sein.
BlitzMax ; Blitz3D
Win 7 Pro 64 Bit ; Intel Core i7-860 ; 8 GB Ram ; ATI HD 5750 1 GB
Projekte: Window-Crasher
Ich liebe es mit der WinAPI zu spielen.

	DAK	So, Dez 28, 2008 23:13 Antworten mit Zitat
woha, hier gehts ja rund... zuerst das, dann das und dann das hier... warum grad so viel auf ein mal? hat da einer angefangen und alle sind nachgezogen oder wie? ich mein, ich kann mich nicht erinnern, dass sowas scho mal war, davor... (juhu, weihnachtseinbrüche jetz schon digital -.-) danke für die warnung! (n glück, dass ich mir vom bb.com nicht mehr hol als sources und module)
Gewinner der 6. und der 68. BlitzCodeCompo

DAK

So, Dez 28, 2008 23:13
Antworten mit Zitat

woha, hier gehts ja rund... zuerst das, dann das und dann das hier...

warum grad so viel auf ein mal? hat da einer angefangen und alle sind nachgezogen oder wie?

ich mein, ich kann mich nicht erinnern, dass sowas scho mal war, davor...

(juhu, weihnachtseinbrüche jetz schon digital -.-)

danke für die warnung!
(n glück, dass ich mir vom bb.com nicht mehr hol als sources und module)

Gewinner der 6. und der 68. BlitzCodeCompo

	ozzi789	So, Dez 28, 2008 23:59 Antworten mit Zitat
omg scheiss kiddys, mehr bleibt mir da nicht mehr zu sagen. Ich bin allgemein vorsichtig was ich mir da aus dem Archiv runterlad :S aber thnx für die Hinweise
0x2B \|\| ! 0x2B C# \| C++13 \| Java 7 \| PHP 5

ozzi789

So, Dez 28, 2008 23:59
Antworten mit Zitat

omg scheiss kiddys, mehr bleibt mir da nicht mehr zu sagen.
Ich bin allgemein vorsichtig was ich mir da aus dem Archiv runterlad :S

aber thnx für die Hinweise

0x2B || ! 0x2B
C# | C++13 | Java 7 | PHP 5

	sheldon	Mo, Dez 29, 2008 0:03 Antworten mit Zitat
OMG, $h** ! Hatte das aus einem anderen Forum gezogen... :/ Bis jetzt habe ich aber nichts davon gemerkt, mein Virenscanner ist auch nicht mehr der Neueste... Zu meinem Glück - ich gebe die Passwörter so gut wie NIE manuell ein. (Das loggt der Trojaner doch, wenn ich das nicht falsch verstanden habe) Werde mir jetzt einen modernen Virenscanner holen und in Zukunft besser aufpassen.

sheldon

Mo, Dez 29, 2008 0:03
Antworten mit Zitat

OMG, $h** !
Hatte das aus einem anderen Forum gezogen... :/
Bis jetzt habe ich aber nichts davon gemerkt, mein Virenscanner ist auch nicht mehr der Neueste... Confused

Zu meinem Glück - ich gebe die Passwörter so gut wie NIE manuell ein. (Das loggt der Trojaner doch, wenn ich das nicht falsch verstanden habe)
Werde mir jetzt einen modernen Virenscanner holen und in Zukunft besser aufpassen.

	Abrexxes	Mo, Dez 29, 2008 0:05 Antworten mit Zitat
sheldon hat Folgendes geschrieben: ich gebe die Passwörter so gut wie NIE manuell ein Sehr gut, dann waren ja alle Cookies auf dem neusten Stand. XD

Abrexxes

Mo, Dez 29, 2008 0:05
Antworten mit Zitat

sheldon hat Folgendes geschrieben:

ich gebe die Passwörter so gut wie NIE manuell ein

Sehr gut, dann waren ja alle Cookies auf dem neusten Stand. XD

	sheldon	Mo, Dez 29, 2008 0:08 Antworten mit Zitat
Hä? Hat der sich die jetzt auch geholt, oder was? -_^ Ich bin zu verwirrt zum denken... Edit: Hab mir grad noch mal das im englischen Forum durch gelesen und dort steht "BlitzBasic.com informations" oder ähnlich. Dann bin ich ja noch mal glücklicher, da ich dort keinen Account habe

sheldon

Mo, Dez 29, 2008 0:08
Antworten mit Zitat

Hä?
Hat der sich die jetzt auch geholt, oder was? -_^

Ich bin zu verwirrt zum denken...

Edit:
Hab mir grad noch mal das im englischen Forum durch gelesen und dort steht "BlitzBasic.com informations" oder ähnlich. Dann bin ich ja noch mal glücklicher, da ich dort keinen Account habe Smile

	#Reaper Newsposter	Mo, Dez 29, 2008 0:21 Antworten mit Zitat
Ohje, ohje. Da zoggt man mal ein paar Stunden, und schon ist hier was los. o_O @sheldon: Man weiß nicht, was der Trojaner alles macht. Hast du deinen PC denn schon von dem Virus gesäubert? Hat jemand noch den Link zum Download? Würde mir das gerne mal in einer VM anschauen. (Bitte per PN schicken, danke!)
AMD Athlon 64 3500+, ATI AX800 Pro/TD, 2048 MB DRR 400 von Infineon, ♥RIP♥ (2005 - Juli 2015 -> sic!) Blitz3D, BlitzMax, MaxGUI, Monkey X; Win7

#Reaper

Newsposter

Mo, Dez 29, 2008 0:21
Antworten mit Zitat

Ohje, ohje. Da zoggt man mal ein paar Stunden, und schon ist hier was los. o_O

@sheldon: Man weiß nicht, was der Trojaner alles macht. Hast du deinen PC denn schon von dem Virus gesäubert?

Hat jemand noch den Link zum Download? Würde mir das gerne mal in einer VM anschauen. (Bitte per PN schicken, danke!)

AMD Athlon 64 3500+, ATI AX800 Pro/TD, 2048 MB DRR 400 von Infineon, ♥RIP♥ (2005 - Juli 2015 -> sic!)
Blitz3D, BlitzMax, MaxGUI, Monkey X; Win7

	Zauberwürfel	Mo, Dez 29, 2008 11:52 Antworten mit Zitat
Ich hab mir letztens von Blitzbasic.com auch ein Programm runtergeladen, welches als Trojaner identifiziert wurde... War ein Space-Shooter glaube ich. kA ob das nur ein Fehlalarm war, auf jeden Fall habe ich ihn sofort gelöscht. PS: Das Programm Trojan-Remover ist sehr zu empfehlen (Gibt's als 30-Tage Testversion)
Ja ich bin audiophil. Jetzt ist es raus.

Zauberwürfel

Mo, Dez 29, 2008 11:52
Antworten mit Zitat

Ich hab mir letztens von Blitzbasic.com auch ein Programm runtergeladen, welches als Trojaner identifiziert wurde... War ein Space-Shooter glaube ich. kA ob das nur ein Fehlalarm war, auf jeden Fall habe ich ihn sofort gelöscht.

PS: Das Programm Trojan-Remover ist sehr zu empfehlen (Gibt's als 30-Tage Testversion)

Ja ich bin audiophil. Jetzt ist es raus.

	BladeRunner Moderator	Mo, Dez 29, 2008 12:13 Antworten mit Zitat
Ich möchte euch hiermit darüber informieren dass auf dem Blitzforum bis auf weiteres keinerlei Accountdaten gehandelt werden dürfen. Dies geschieht zum Schutz von Käufer und Verkäufer. Solange die Trojandergeschichte nicht restlos geklärt und die Schuldigen zur Rechenschaft gezogen worden sind ist dies der einzige Weg um unsere Nutzer vor Schaden zu wahren. Nebenbei: Mit dem Kauf bei BRL direkt unterstützt ihr auch die zukünftige Entwicklung von Bmax.
Zu Diensten, Bürger. Intel T2300, 2.5GB DDR 533, Mobility Radeon X1600 Win XP Home SP3 Intel T8400, 4GB DDR3, Nvidia GF9700M GTS Win 7/64 B3D BMax MaxGUI Stolzer Gewinner des BAC#48, #52 & #92

BladeRunner

Moderator

Mo, Dez 29, 2008 12:13
Antworten mit Zitat

Ich möchte euch hiermit darüber informieren dass auf dem Blitzforum bis auf weiteres keinerlei Accountdaten gehandelt werden dürfen. Dies geschieht zum Schutz von Käufer und Verkäufer. Solange die Trojandergeschichte nicht restlos geklärt und die Schuldigen zur Rechenschaft gezogen worden sind ist dies der einzige Weg um unsere Nutzer vor Schaden zu wahren.

Nebenbei: Mit dem Kauf bei BRL direkt unterstützt ihr auch die zukünftige Entwicklung von Bmax.

Zu Diensten, Bürger.
Intel T2300, 2.5GB DDR 533, Mobility Radeon X1600 Win XP Home SP3
Intel T8400, 4GB DDR3, Nvidia GF9700M GTS Win 7/64
B3D BMax MaxGUI
Stolzer Gewinner des BAC#48, #52 & #92

	DAK	Mo, Dez 29, 2008 13:41 Antworten mit Zitat
schade... naja, is wohl die einzige sinnvolle lösung...
Gewinner der 6. und der 68. BlitzCodeCompo

DAK

Mo, Dez 29, 2008 13:41
Antworten mit Zitat

schade... naja, is wohl die einzige sinnvolle lösung...

Gewinner der 6. und der 68. BlitzCodeCompo

	sheldon	Mo, Dez 29, 2008 13:42 Antworten mit Zitat
Das "Panda Anti-Rootkit"-Programm hat bei mir nichts gefunden. Dann stand dort ein Link, habe da drauf geklickt und er startet einen "online-scan". Der hat mir gesagt, dass mein PC infiziert ist. Dann wollte er mir ein Programm für 12€ und ein paar zerquetschte rein drücken. Will ich aber nicht. Weiß denn jemand ein (sehr) gutes, kostenloses, nicht Shareware Antivirenprogramm?

sheldon

Mo, Dez 29, 2008 13:42
Antworten mit Zitat

Das "Panda Anti-Rootkit"-Programm hat bei mir nichts gefunden. Dann stand dort ein Link, habe da drauf geklickt und er startet einen "online-scan". Der hat mir gesagt, dass mein PC infiziert ist.
Dann wollte er mir ein Programm für 12€ und ein paar zerquetschte rein drücken.
Will ich aber nicht.

Weiß denn jemand ein (sehr) gutes, kostenloses, nicht Shareware Antivirenprogramm?

	Der Eisvogel	Mo, Dez 29, 2008 13:54 Antworten mit Zitat
avast.com
Ungarische Notation kann nützlich sein. BlitzMax ; Blitz3D Win 7 Pro 64 Bit ; Intel Core i7-860 ; 8 GB Ram ; ATI HD 5750 1 GB Projekte: Window-Crasher Ich liebe es mit der WinAPI zu spielen.

Der Eisvogel

Mo, Dez 29, 2008 13:54
Antworten mit Zitat

avast.com

Ungarische Notation kann nützlich sein.
BlitzMax ; Blitz3D
Win 7 Pro 64 Bit ; Intel Core i7-860 ; 8 GB Ram ; ATI HD 5750 1 GB
Projekte: Window-Crasher
Ich liebe es mit der WinAPI zu spielen.

	DAK	Mo, Dez 29, 2008 14:15 Antworten mit Zitat
ich verwend den avira antivir. rennt ganz gut... (auch wenns leider hin und wieder bmax- und fasm-kompilate als böse misserkennt... hat z.b. eins von den fasm-beispielprogs als virus oder trojaner oder so erkannt...)
Gewinner der 6. und der 68. BlitzCodeCompo

DAK

Mo, Dez 29, 2008 14:15
Antworten mit Zitat

ich verwend den avira antivir.
rennt ganz gut... (auch wenns leider hin und wieder bmax- und fasm-kompilate als böse misserkennt... hat z.b. eins von den fasm-beispielprogs als virus oder trojaner oder so erkannt...)

Gewinner der 6. und der 68. BlitzCodeCompo

	jsp	Mo, Dez 29, 2008 16:40 Antworten mit Zitat
Auf blitzbasic.com hat jemand auch einen Link gepostet, der auf eine Post hier im Forum weist. Koennte das von den Admins mal ueberprueft werden, nicht das hier noch mehr auf den Trojaner reinfallen. http://www.blitzbasic.com/Comm...337#928060 Post von YZnt! https://www.blitzforum.de/foru...p;start=40
Logic Gui Professional a Gui Designer for MaxGui

jsp

Mo, Dez 29, 2008 16:40
Antworten mit Zitat

Auf blitzbasic.com hat jemand auch einen Link gepostet, der auf eine Post hier im Forum weist. Koennte das von den Admins mal ueberprueft werden, nicht das hier noch mehr auf den Trojaner reinfallen.

http://www.blitzbasic.com/Comm...337#928060

Post von YZnt!
https://www.blitzforum.de/foru...p;start=40

Logic Gui Professional a Gui Designer for MaxGui

	robotx	Mo, Dez 29, 2008 16:51 Antworten mit Zitat
Der Downloadlink funktioniert nicht mehr.
www.botbomb.robotzgames.de www.robotzgames.de

robotx

Mo, Dez 29, 2008 16:51
Antworten mit Zitat

Der Downloadlink funktioniert nicht mehr.

www.botbomb.robotzgames.de
www.robotzgames.de

	jsp	Mo, Dez 29, 2008 17:02 Antworten mit Zitat
Prima, also schon mal gesperrt und keine Gefahr mehr. Ist denn der Account von YZnt auch geklaut worden?
Logic Gui Professional a Gui Designer for MaxGui

jsp

Mo, Dez 29, 2008 17:02
Antworten mit Zitat

Prima, also schon mal gesperrt und keine Gefahr mehr.

Ist denn der Account von YZnt auch geklaut worden?

Logic Gui Professional a Gui Designer for MaxGui

	The_Nici	Mo, Dez 29, 2008 18:12 Antworten mit Zitat
Und wer bestätigt dir dass sein Account wirklich gestohlen wurde? -.-

The_Nici

Mo, Dez 29, 2008 18:12
Antworten mit Zitat

Und wer bestätigt dir dass sein Account wirklich gestohlen wurde? -.-

	ChaosCoder	Mo, Dez 29, 2008 18:12 Antworten mit Zitat
Falls jemand im englischen Board nicht mitliest, hier mal was der Trojaner macht: Originalpost von puki puki hat Folgendes geschrieben: (Übersetzt) Nachdem spielerrei.exe die Verbindung mit dem Internet erlaubt wurde, erstellt es die Dateien "Compiler.exe" (548KB) und "attack_normal.exe" (871KB) im Windows/system32 Ordner. Letztere Datei scheint eine BMax-exe zu sein. Die Compiler.exe erscheint dann auch noch in dem Ordner "Lokale Einstellungen/Temp" unter dem Namen tmpXXX.exe, wobei XXX eine Zahlenfolge darstellt. Spielerrei.exe, attack_normal und compiler.exe werden dann in den Prefetch Ordner von Windows kopiert. Aus dem Ordner "Lokale Einstellungen/Temp" heraus, versucht das Programm die Windows Messenger Logins herauszukriegen. Die nächsten Daten sind die des Internet Service Provider. (Dialer) Danach versucht es die Blitzbasic login Daten zu ermitteln. All das passierte sofort, nachdem ich dem Programm die Internetverbindung erlaubt habe. Es blieben einige .tmp Dateien zurück. 4 Minuten später habe ich bemerkt, wie auf die signons Datei von Firefox zugegriffen wurde. Allerdings bin ich mir nicht sicher, ob das wirklich das Programm war oder ich. In der signons Datei stecken alle Passwörter, die von FF gespeichert worden sind. Darum wäre es jetzt besser, gleich damit anzufangen eure Passwörter zu ändern, auch wenn ich mir nicht sicher bin, ob das Programm wirklich auf die Datei zugegriffen wurde. Auf einem anderen PC, wo die Verbindung mit dem Internet geblockt wurde, wurden keine extra Dateien erstellt. Weder im System32 ordner, noch im Temp-Verzeichnis. Zusätzlich hat puki die .tmp Dateien analysiert: Code: [AUSKLAPPEN] [EINKLAPPEN] ================================================== Software : Windows Live Messenger Protocol : MSN Messenger User : your e-mail address Password : your Messenger password ================================================== ================================================== Entry Name : Your ISP dialler Phone / Host : User Name : Password : Domain : Owner : System User Profile : Whatever ================================================== ================================================== Entry Name : the name of the dialler Phone / Host : MSDUN User Name : Password : password Domain : Owner : System User Profile : Whatever ================================================== ================================================== Entry Name : http://www.blitzbasic.com/account/login.php Type : AutoComplete Stored In : Registry User Name : puki Password : ================================================== Allerdings war das Passwordfeld wirklich leer beim letzten Eintrag.
Projekte: Geolaria \| aNemy Webseite: chaosspace.de

ChaosCoder

Mo, Dez 29, 2008 18:12
Antworten mit Zitat

Falls jemand im englischen Board nicht mitliest, hier mal was der Trojaner macht:

Originalpost von puki
puki hat Folgendes geschrieben:

(Übersetzt)
Nachdem spielerrei.exe die Verbindung mit dem Internet erlaubt wurde, erstellt es die Dateien "Compiler.exe" (548KB) und "attack_normal.exe" (871KB) im Windows/system32 Ordner. Letztere Datei scheint eine BMax-exe zu sein.

Die Compiler.exe erscheint dann auch noch in dem Ordner "Lokale Einstellungen/Temp" unter dem Namen tmpXXX.exe, wobei XXX eine Zahlenfolge darstellt.

Spielerrei.exe, attack_normal und compiler.exe werden dann in den Prefetch Ordner von Windows kopiert.

Aus dem Ordner "Lokale Einstellungen/Temp" heraus, versucht das Programm die Windows Messenger Logins herauszukriegen.
Die nächsten Daten sind die des Internet Service Provider. (Dialer)
Danach versucht es die Blitzbasic login Daten zu ermitteln.

All das passierte sofort, nachdem ich dem Programm die Internetverbindung erlaubt habe. Es blieben einige .tmp Dateien zurück.

4 Minuten später habe ich bemerkt, wie auf die signons Datei von Firefox zugegriffen wurde. Allerdings bin ich mir nicht sicher, ob das wirklich das Programm war oder ich.
In der signons Datei stecken alle Passwörter, die von FF gespeichert worden sind.
Darum wäre es jetzt besser, gleich damit anzufangen eure Passwörter zu ändern, auch wenn ich mir nicht sicher bin, ob das Programm wirklich auf die Datei zugegriffen wurde.

Auf einem anderen PC, wo die Verbindung mit dem Internet geblockt wurde, wurden keine extra Dateien erstellt. Weder im System32 ordner, noch im Temp-Verzeichnis.

Zusätzlich hat puki die .tmp Dateien analysiert:
Code: [AUSKLAPPEN]

==================================================
Software : Windows Live Messenger
Protocol : MSN Messenger
User : your e-mail address
Password : your Messenger password
==================================================

==================================================
Entry Name : Your ISP dialler
Phone / Host :
User Name :
Password :
Domain :
Owner : System
User Profile : Whatever
==================================================

==================================================
Entry Name : the name of the dialler
Phone / Host : MSDUN
User Name :
Password : password
Domain :
Owner : System
User Profile : Whatever
==================================================

==================================================
Entry Name : http://www.blitzbasic.com/account/login.php
Type : AutoComplete
Stored In : Registry
User Name : puki
Password :
==================================================

Allerdings war das Passwordfeld wirklich leer beim letzten Eintrag.

Projekte: Geolaria | aNemy
Webseite: chaosspace.de

	jsp	Mo, Dez 29, 2008 18:30 Antworten mit Zitat
The_Nici hat Folgendes geschrieben: Und wer bestätigt dir dass sein Account wirklich gestohlen wurde? -.- Das kann leider nur der eigentliche Besitzer. Aber vielleicht kennt ihn jemand persoenlich und kann ihn kontaktieren, falls er nicht mehr im Board aktiv ist. Sollte er der Verursacher sein, wird es schwierig. Da einige IP's erfasst wurden hilft dann wahrscheinlich nur noch eine Anzeige um herauszufinden, zu wem sie passen. Aber eine Garantie gibt es leider nicht.
Logic Gui Professional a Gui Designer for MaxGui

jsp

Mo, Dez 29, 2008 18:30
Antworten mit Zitat

The_Nici hat Folgendes geschrieben:

Und wer bestätigt dir dass sein Account wirklich gestohlen wurde? -.-

Das kann leider nur der eigentliche Besitzer.
Aber vielleicht kennt ihn jemand persoenlich und kann ihn kontaktieren, falls er nicht mehr im Board aktiv ist.
Sollte er der Verursacher sein, wird es schwierig.
Da einige IP's erfasst wurden hilft dann wahrscheinlich nur noch eine Anzeige um herauszufinden, zu wem sie passen. Aber eine Garantie gibt es leider nicht.

Logic Gui Professional a Gui Designer for MaxGui

Übersicht

Sonstiges

News

Nach Oben

BlitzBasic Portal

Trojanerwarnung

Betreff: Trojanerwarnung