Symantec warnt vor einem neuen Trojaner, der Windows PCs absolut unbrauchbar machen kann: Der tückische Angreifer namens „Offensive“ versteckt sich in einer normalen HTML-Seite, auf die User beispielsweise durch eine E-Mail gelockt werden. Wer auf dieser Site einen Start-Button drückt, wie er beispielsweise bei Formularfeldern bekannt ist, macht sich viel unnötige Arbeit.
Sämtliche Icons verschwinden vom Desktop. Außerdem sorgt „Offensive“ dafür, dass kein einziges Programm mehr ausgeführt werden kann. Ein Herunterfahren von Windows ist ebenso unmöglich wie das System im sicheren Modus weiter zu betreiben.
Zwar hat dieser Trojaner nach jetzigem Kenntnisstand noch nicht weltweit großen Schaden verursacht, dennoch steht er aufgrund seiner potenziellen Gefährlichkeit auf den aktuellen Virenlisten weit oben.
Betroffene User haben nur wenige Möglichkeiten: Falls möglich, ist die Registry manuell zu editieren oder durch ein vorher erstelltes Backup zu ersetzen. Wer so unvorsichtig war und keine Sicherheitskopie angefertigt hat, dem bleibt laut Symantec nur ein Ausweg: Die Neuinstallation von Windows.
ZDNet bietet im Download-Bereich einige wirkungsvolle Tools zum Schutz vor Trojanern.
Ist ein PC vom Trojaner befallen, so führt dieser folgende Änderungen in der Registry durch:
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesExplorer
Values:
RestrictRun
NoChangeStartMenu
NoClose
NoDrives
NoDriveTypeAutoRun
NoFavoritesMenu
NoFileMenu
NoFind
NoFolderOptions
NoInternetIcon
NoRecentDocsMenu
NoLogOff
NoRun
NoSetActiveDesktop
NoSetFolders
NoSetTaskbar
NoWindowsUpdate
Nodesktop
NoViewContextMenu
NoNetHooD
NoEntioeNetwork
NoWorkgroupContents
NoSaveSettings
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesSystem
Values:
DisableRegistryTools
NoConfigPage
NoDevMgrPage
NoDispAppearancePage
NoDispScrSavPage
NoDispBackgroundPage
NoDispSettingsPage
NoFileSysPage
NoVirtMemPage
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesWinOldApp
Values:
NoRealMode
Disabled
Keys:
HKEY_CURRENT_USERSoftwareMicrosoft
InternetExplorerMainWindow Title
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerMainWindow Title
Values:
Window Title
Start Page
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionWinlogon
Values:
LegalNoticeCaption
LegalNoticeText
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerExtensions
{C18CB140-0BBB-11D4-8FE8-0088CC102438}
Values:
ButtonText
CLSID
DefaultVisible
Exec
MenuStatusBar
MenuText
Key:
HKEY_CURRENT_USERSoftwareMicrosoft
Internet ExplorerMenuExthow to * japanese
Key:
HKEY_CLASSES_ROOTDriveshellhow to * japan
Keys:
HKEY_LOCAL_MACHINESoftwareCLASSES.exe
HKEY_LOCAL_MACHINESoftwareCLASSES.reg
HKEY_LOCAL_MACHINESoftwareCLASSES.htm
HKEY_LOCAL_MACHINESoftwareCLASSES.html
HKEY_LOCAL_MACHINESoftwareCLASSES.txt
HKEY_LOCAL_MACHINESoftwareCLASSES.inf
HKEY_LOCAL_MACHINESoftwareCLASSES.dll
HKEY_LOCAL_MACHINESoftwareCLASSES.ini
HKEY_LOCAL_MACHINESoftwareCLASSES.sys
HKEY_LOCAL_MACHINESoftwareCLASSES.com
HKEY_LOCAL_MACHINESoftwareCLASSES.bat
Value:
(default) is set to textfile
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
Value:
internat.exe
ScanRegistry
TaskMonitor
SystemTray
LoadPowerProfile
Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunServices
Value:
LoadPowerProfile
SchedulingAgent
Kontakt:
Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)
Neueste Kommentare
8 Kommentare zu Warnung vor Trojaner „Offensive“
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Also ActiveX
Also der Link so Symantec gehört meiner Meinung nach doch in den Artikel. Wenn man sich schon auf Symantec bezieht sollte das ja wohl selbstverständlich sein.
Dann der Hinweis auf ActiveX (Wer hätte das gedacht? Miese Buttons die Trojaner aktivieren; wer denkt da schon an MSs tolle Erfindung ;-) ).
Warum steht im Artikel nichts davon. Nur viel "Bild-Zeitungs-Bla-Bla".
Ich glaube den Lesern des Artikels kann man schon zutrauen, das sie wissen was ActiveX ist.
Zum Glück gibts User,die mehr wissen…
Ein Kumpel mailte mir den Link zu diesem Artikel,weil er weiß,dass ich mich für Security interessiere…
Die Meldung ist wirklich ein Witz:desinformativ,pauschal,ungenau,wie wir es von Sensationsjournalisten gewohnt sind.
Der entscheidende Hinweis auf ActiveX-Controls kam von einem User,der sich auf amerikan. Seiten umsah.Typisch!
Na wie gut,dass mein Netscape mit ActiveX so überhaupt gar nichts anfangen kann und selbst wenn…dass ActiveX kreuzgefährlich ist,müsste sich doch nun langsam herumgesprochen haben….aber denkste !
http://www.eisenheim.de
…nicht so voreilig!
Wenn ihr euch mal über die angegebene Referenz, sprich das Symantec Antivirus-Center oder bei McAffe erkundigt hättet, wäre es euch erspart geblieben diesen Artikel so verunglimpfen:
"Trojan.JS.Offensive is a Trojan horse that comes in the form of an .html file. (It could also be a Web page on the Internet).
This Trojan exploits ActiveX capabilities, which allows it to modify your browser’s home page, as well as to severely restrict your access to the system. If the Trojan has been activated, you should either contact a computer professional for assistance or consider reinstalling Windows.
Two variants of this Trojan have been received by Symantec. These variants differ only in the way they are activated:
The first variant displays one button that contains the text "Start" and it is activated when you click the button.
The second variant does not display a button, and it will be activated as soon as you open the .html file.
CAUTION: If Norton AntiVirus detects a file as being infected with Trojan.JS.Offensive, you should delete it immediately. Do not open it."
http://www.symantec.com/avcenter/venc/data/trojan.js.offensive.html
oder auch bei McAffee:
vil.nai.com/vil/dispVirus.asp?virus_k=99189
schönen Tag noch!
Kann ich ZD-Net noch trauen?
Diese Viren | Trojaner Meldung lässt den üblichen Anhang "…und zerstört Ihre Grünpflanzen im Büro …" vermissen.
Der Gesamte Text ist schlicht und ergreifend Hoaxmässig.
Welche von den vielen Windows-Versionen ist davon betroffen?
Auf welche Webseiten wird man "gelockt"?
Welche Sicherheitseinstellungen können evtl. verändert werden?
Theoretisch könnte jeder beliebige HyperLink solche Aktionen auslösen.
Danke ZD-Net für diese Meldung. Ich erwarte _wesentlich_ mehr Fachkompetenz, das hier ist RTL2 Niveau.
Weitere Infos im Symantec Viren-Infozentrum
Unter http://www.symantec.com/avcenter/venc/data/trojan.js.offensive.html kann man im Viren-Infozentrum von Symantec näheres zum Trojaner nachlesen.
cp Info > nul
Hallo News-Melder
auch ich finde die – an einen Hoax erinnernde – Nennung des überaus gefährlichen "Start"-Buttons schlichtweg desinformativ. So lange nicht erklärt wird, was eigentlich beim Klick auf einen solchen Link wirklich passiert (welche Browser-Einstellungen also wieder mal ausgenutzt werden, weil sie der Standard-Installation entsprechen), ist diese Information KEINE. Daran ändert auch die lange Auflistung von Registry-Einträgen nichts, die wohl einen informativen Wert suggerieren soll. Da sich kaum ein Benutzer die Arbeit machen wird, alle Keys von Hand nachzupruepfen/zurueckzustellen, haette man besser andere Hintergrundinfos (siehe oben) dazu geschrieben.
Sorry, aber diesmal wars kein guter Dienst…
Warnung vor Trojaner
jo, dann lacht mal schön weida.
leider ist das die bittere realität mit dem trojan. vorgestern hatte den mir einer per mail geschickt. mein norton virenscanner hat das teil aber entdeckt und ich habe ihn dann "vernichtet". Ein kumpel hatte weniger glück. sein scanner sprach net drauf an und er folgte einem link zu ner html seite. nachdem er die seite geschlossen hatte "lief sein system irgendwie amok" hat er zu mir gesagt. ( buttons waren weg, win explorer ging nimmer etc. Sein system lief aber nach 2 mins wieder einwandfrei) aber nur für 2mins. am nächsten tag hat er ein virenupdate geholt und dann hat er das teil erst entdeckt und gekillt.
Also weiderlachen jungz :P
glaubwürdig ? ja oder nein ?
Sehr geehrter Herr Fiutak,
bezüglich Ihres Artikels
news.zdnet.de/story/0,,t101-s2093722,00.html
Ich zitiere die entsprechden Stelle:
"Der tückische Angreifer namens "Offensive" versteckt sich in einer normalen HTML-Seite, auf die User beispielsweise durch eine E-Mail gelockt werden. Wer auf dieser Site einen Start-Button drückt, macht sich viel unnötige Arbeit."
Es gibt ja wirklich eine ganze Menge an Horror-geschichten rund um Viren/Trojaner – Mythen usw.
aber diese Beschreibung "[…] auf einer Html – Seite […] einen Start-Button-drückt […]" ist wirklich
überaus erheiternd !!! Bitte präzizieren Sie Ihre Angaben doch genauer oder noch besser, nennen Sie eine
internetseite wo man solch einen magischen Start Button findet !
– muß man auf Bild – buttons achten auch denen Start steht ? oder auf formular – felder ? Oder auf Buttons
die dem Windows Start – icon ähnlich sehen ? Bitte helfen Sie uns weiter, das ganze Büro lacht !
Mit freundlichen Grüßen
c.m.