Auf Grund einer Virenattacke war das Forum seit heute Morgen nicht erreichbar. Gleich nach dem Bekanntwerden habe ich alle betroffenen Teile der Webseite, so auch das Forum, offline genommen und mich an die Bereinigung gemacht. Inzwischen sollte wieder alles schadcodefrei sein und auch ordnungsgemäß funktionieren.
Im Moment ist mir noch nicht klar, welche Virenscanner diesen Trojaner erkennen. Internet Security 2010 schlägt jedenfalls nicht an, Kaspersky meldet nach Angabe einiger User "Trojan-Clicker.JS.Iframe.db ".
Im Netz habe ich dazu bereits einige Informationen gefunden:
Übelster Virus, Trojaner oder Hack im UmlaufFAQs und Schritte gegen den Virus TrojanerSollte jemanden etwas ungewöhnliches Auffallen, ein Virenscanner oder eine Firewall eine Meldung hier auf der Webseite verursachen oder irgendeine Funktion nicht ordnungsgemäß ausgeführt werden, dann bitte ich um kurze Info hier im Thread, per PN oder Mail.
Offensichtlich habe ich eine infizierte Webseite besucht und mir so selber einen Trojaner eingefangen. Dieser hat anscheinend die Zugangsdaten aus meinem FTP-Programm dazu genutzt, diese Website sowie 3 weitere Domains zu infizieren. Dabei wurden einige Dateien mit einem Java-Script-Code versehen, der beim Ausruf wiederum versucht, diesen Trojaner beim Besucher zu platzieren. Den Java-Scriptcode von den Webseiten zu entfernen ist noch relativ einfach, gibt es dafür inzwischen ein kleines Script, welches alle betroffenen Dateien aufspürt um, wenn die nötigen Rechte vorliegen, auch gleich bereinigt.
Der Trojaner selber ist allerdings hartnäckig und deutlich gefährlicher. Es ist nicht auszuschließen, dass dieser auch andere Zugangsdaten übermittelt oder weiteren Schadcode nachlädt. Erste Anzeichen für den Trojaner ist eine ungewöhnlich hohe Prozessorauslastung. Berichten zufolge belegt der svchost.exe-Prozess bis zu 100%, bei meinem Duo Core waren das 50%. Dies kann man sich mittels des Prozessmanagers ansehen, macht sich aber auch durch ein ungewöhnlich langsames System bemerkbar, wenn man nicht gerade mehr Prozessorkerne hat. Der Leelaufprozess bei Windows XP liegt bei mir z.B. ohne gestartete Anwendungen bei ca. 99%.
Außerdem kann man ihn über msconfig finden. Dazu über die Schaltfläche „Start“ -> „Ausführen“ anwählen und im Fenster „msconfig“ eingeben. Unter dem Reiter „Systemstart“ findet man dann alle Programme, die beim Systemstart gestartet werden. Auf einem infizierten System ist dort „siszyd32.exe“ eingetragen. Hier sieht man auch wo sich die Datei befindet. Wer das Häkchen davor entfernt „übernehmen“ und „ok“ drückt und dann den PC neu startet, kann ihn deaktivieren, allerdings ist er dann noch nicht entfernt. Außerdem wird er, sobald man den „Normalen Systemstart“ anwählt wieder aktiv.
Ich habe auf meine Suche kein Programm gefunden, dass den Schädling direkt im laufenden System findet. Auch nicht, wenn man ihn vorher mit msconfig abschaltet. Evt. funktioniert ein Onlinescan oder eines der vielen anderen Virenprogramme, allerdings hatte ich nicht die Zeit, dies zu prüfen. Gefunden wird der Trojaner von a-spared Free, wenn Windows im
abgesicherten Modus läuft, im Regelfall im Startmenü. Auch ein entfernen ist dann problemlos möglich.
Von daher empfehle ich allen betroffenen Besuchern, die Pleite-was-nun in der Zeit von Sonntag, den 27.12.2009 von 14.00 Uhr bis Montag, den 28.12.2009 ca. 11.00 Uhr besucht haben, einen Scan mit a-squared Free im abgesicherten Modus. Betroffene Webseitenbetreiber, die Passwörter in ihren FTP-Programmen speichern, sollten darüber hinaus diese vorsorglich ändern, auch wenn ihre Webseiten bisher nicht betroffen sind.Utilities, die helfen könnten:
a-squared Free Viren Scanner
Microsoft Security Essentials Echtzeitschutz für Microsoft Kunden
http://seoforums.org/ Info für betroffene Webseitenbetreiber mit HoTo zum Entfernen des Trojaners
Sobald mir weitere Informationen vorliegen, werde ich die hier veröffentlichen.
Bekannte Probleme:
versehen.
