SysKontroller

Da will man nur mal schnell ohne seine Firefox Cookies mit dem IE was nachschauen und schon purzelt die NagWare rein.

Mit einemm Vollständig gepatchten IE sollte man doch gefahrlos ins Internet können. Aber mitnichten: Schon beim ersten Besuch einer (seriösen) Web-Community Seite ist es möglich fremde Dateien auf dem System auszuführen.

Grund ist ein neuer Exploit beim IE, den sich die NagWare „SysKontroller“ zu nutze macht: Schon beim Einbinden eines manipulierten Werbebanners kommt der Schädling auf den PC – Und verankert sich verdammt fest im System.

Als Windows-Kernel Treiber oder rootkit installiert ist es praktisch unmöglich das Programm weg zu kriegen. Ad-Aware kanns nicht und Symantec Antivirus ach nicht.

Die einzige Methode die half war: System ins den abgesicherten Modus booten und da einige Dateien löschen.

Da man aber nie sicher sein kann ob auch wirklich alles entfernt ist, habe ich mir den mehrfachaufwand „gegönt“: format c:\ + Benutzerprofil auf dem Server vollständig löschen.

Wird mir beim neuen PC noch 1-2 Stunden mehr Konfigurationsaufwand bescheren.

5 Kommentare zu SysKontroller

  1. Im Verlauf des simulierten Scans zeigte das Fenster mehrere unspezifische Warnungen an, die dem Nutzer wegen angeblich bevorstehender Datenverluste nahelegten, ein nachzuladenes Programm "setup_de.exe" zu installieren. Windows-Anwendern, die auf den "Weiter"-Button klickten, wurde nach einem weiteren Bestätigungsklick der SysKontroller auf dem PC installiert.
    Anwender, die nach der ersten SysKontroller-Meldung im Browser nichts weiter angeklickt haben, haben nichts zu befürchten, da sich die Nagware nicht selbsttätig installieren kann.

  2. @Meister
    Das war damals noch so. Vor dem neuesten MS-Patch letzte Woche war dies wie geschrieben über einen einen ie exploit ohne user Interaktion möglich.

    Lies weiter:
    „Nach bisherigen Analysen lud es ein Skript von den Seiten des Marketingdienstleisters traffalo.com nach, das wiederum ein Flash-Applet nachlud, welches mittels ActionScript weiteres JavaScript in die bestehende HTML-Seite einschleuste. Diverse Virenscanner erkannten bei diesem Versuch einen „Trojan-Downloader.SWF.Gida.a“. Wieso das Skript nachträglich kompromittiert werden konnte, wird derzeit noch untersucht.“

  3. *lol*
    egal ob es noch 1000 Scripts nachlädt. Das hat selbstverständlich nichts mit der Tatsache zu tun, dass eine Userinteraktion nötig ist 😉

    Desweiteren nützt ein "vollständig gepatchter" IE nichts, wenn man danach seine Workstation _nicht_ neu startet…

  4. Doch.
    Banner lädt script nach->(nur durch IE bug überhaupt möglich)->dieses lädt flash applet nach->dieses lädt javascript mit dem exploit code nach->EXPLOIT AUF IE; keine userinteraktion ist mehr nötig um .exe auszuführen.->Führt aus.

  5. banner != IE 😉

    wenn ein Flash Banner ein Script (zB JS) nachladen kann (Zb fremde Domain), hat dies wohl nichts mit dem IE zu tun.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.