Hallo,

habe mir gestern abend die aktuelle Version des kostenlosen Virenscanners ClamXav installiert um mal checken zu können, ob auch wirklich alles "clean" ist bei mir.

www.clamxav.com

Heute morgen dann der Schreck:
in meinem Home-Verzeichnis im Library-Ordner versteckt sich "Java.Downloader.OpenStream.A" (siehe Screenshot).

Dass sich dieser ?Virus/Wurm/Trojaner? im Caches-Verzeichnis verbirgt, machte mich allerdings etwas stutzig...

Und so startete ich den Rechner heute morgen noch einmal neu (in der Annahme, dass dadurch etwaige Caches "gesäubert" werden).

Anmerkung: Wobei mir gerade einfällt, dass ich AppleJack 1.4.1 im SingleUserMode "aufräumen lassen" hätte können, sprich Temp, Cache etc. löschen/säubern.

Weiß jemand etwas über diesen "Java.Downloader.OpenStream.A"?

Laut Sophos handelt es sich um einen Windows-Virus.



Also keine Gefahr und einfach ignorieren?

Oder lieber löschen? Weiß jemand Rat?

PS: habe nur mein Home-Verzeichnis gescannt (normaler Benutzer-Account ohne Admin-Rechte).
Also ist es sicher sinnvoll, den kompletten Rechner noch einmal beim Admin-Account checken zu lassen?

2nd PS: und wie kommt dieses verdammte Teil auf meinen Rechner? Per Browser? Ich bin gelinde gesagt etwas irritiert... danke jetzt schon für Eure beruhigenden Kommentare...

Ach, was ich vor Aufregung vergaß zu erwähnen:
machte heute morgen noch mal einen Check mit ClamXav (nach dem Neustart), und nun sehe ich, dass das Problem immer noch besteht (siehe Screenshot).

Der Oberwitz:
in meinem Ordner Library/Caches sehe ich gar keine Datei/keinen Ordner namens "Java Applets".

Von Hand kann ich ihn also gar nicht löschen! amp;

Die Datei sollte für den Mac nicht gefährlich sein. Es handelt sich dabei wohl um ein Java Applet, dass auf Windows Rechnern (vermutlich durch ausnutzung einer Sicherheitslücke) irgendetwas böses tut. Oft sind so Applets in unseriösen (oder gehackten) Webseiten versteckt. Das Applet wird dann automatisch von der manipulierten Seite geladen und (bei entsprechend geeigneten Systemen) gestartet. Du warst also auf so einer Seite und dir wurde das entsprechende Applet untergeschoben. Weil Java-Applets gecachet (oder wie man das schreibt ) werden, findet es sich noch auf deiner Platte.

Check das mal mit nem 2. Virenscanner. Nebenbei, es gibt keinen Virus für OSX. Also, keine Panik.:-D

Hei, kein Grund zur Beunruhigung..........das Teil kann auf Deinem Mac nichts böses tun, aber Du kannst es weiterverbreiten in die Win World.....
Also, ClamXav nochmals laufen lassen, diesmal mit der Einstellung dass das File in einen separaten Ordner verschoben werden soll, dann dort löschen

Puh, ok, das beruhigt mich erst einmal, danke.

Habe mittlerweile auch noch mal einen Neustart inkl. "Applejack AUTO" im SUM gemacht.

Jetzt konnte ich in Library/Caches auch bis in das entsprechende Verzeichnis zur Datei "javainstaller.jar-5ad1bcbe-6ebf10cc.zip" springen und diese löschen.

Und ClamXav scheint jetzt auch nichts mehr zu finden, bloß gut.

Werde in Zukunft wohl ClamXav automatisch mein gesamtes Home-Verzeichnis überwachen lassen - bin mal gespannt, ob es sich dann meldet, wenn wieder so etwas auf meinem Rechner landet... dann könnte ich ja (theoretisch) zumindest erkennen, von welcher bösen Website das Teil kam.

Benutzt jemand von Euch ClamXav mit automatischer Ordner-Überwachung und hat schon mal eine Warnmeldung bekommen? Würde mich mal interessieren...

Diesen Java-Trojaner findet offensichtlich fast jeder auf seiner Platte.
Scheint wohl auf vielen Websites vergraben zu sein.
Wenn Du Deine Platte ab und an mal scannst, dann wirst Du ihn öfters vorfinden.
Nur gut, daß er keinen Schaden anrichten kann.;-)
War das jetzt eigentlich ein Trojaner, oder ein Wurm?:-/
Egal, ich weiß es nicht mehr.

Laut Sophos handelt es sich um einen Windows-Trojaner:



Genauere Infos (was er eigentlich genau macht) habe ich aber auch nicht parat...

Noch eine ergänzende Frage bezüglich ClamXav:

beim Scan meiner externen FireWire-Festplatte stoße ich bei einigen Zip-Archiven auf das Problem "Suspect.Zip FOUND" oder auch "Oversized.Zip FOUND".

Ein schnelle Suche per Google machte mich auch nicht wirklich schlauer:



Was kann man tun?

Vielen Dank für Eure Hilfe.

Bodo
Ist ja richtig; aber zumindest zeigt es, dass sich das Zeugs vom User unbemerkt platzieren lässt. Also zu sehr in Sicherheit wiegen sollte man sich auch nicht, selbst wenn dieser Win-Trojaner (ist es ja wohl) hier nichts weiter anrichten kann.

Was meint ihr, welche Ordner sollte man sinnvollerweise (abgesehen von Mailboxes und d/l-Ordner) unter Beobachtung halten? Ich habe jetzt mal den JavaApplets-cache-Ordner mit reingezogen, mal gucken, von wo man sich so´nen OpenStream einfangen kann.

Kann man denn den Java-Cache komplett löschen?
Eher nicht, oder?

OT: Gewinnt Ihr heute abend gegen Bochum?
Ich muß endlich meine Wette abgeben.;-)
Quote für Heimsieg liegt momentan bei 4.40 ...

Ach ja, neben Open Stream scheint auch noch Trojan.Gummy.Bytverify sehr beliebt zu sein.
Gibt es eigentlich eine Möglichkeit den Java-Cache zu deaktivieren?
Kann man den Cache bedenkenlos löschen?

Joooa, oder auch »Java.ClassLoader.24564« alias »Troj/Clsldr-D«

Keine Ahnung, ob man den deaktivieren kann, ich hab ihn in ClamXav Sentry drinnen, weil mich die Seiten interessieren, von wo das Zeugs kommt.

eieiei… ich bin da nicht soo optimistisch Obwohl, immerhin das Wetter ist auf unserer Seite. Hamburger Schmuddelwedder.

Ich wette mal trotzdem auf Pauli.O:-)

Noch einmal meine Frage von weiter oben, da sie hier im OffTopic-Fußball-Dschungel verloren gegangen ist...

Noch eine ergänzende Frage bezüglich ClamXav:

beim Scan meiner externen FireWire-Festplatte stoße ich bei einigen Zip-Archiven auf das Problem "Suspect.Zip FOUND" oder auch "Oversized.Zip FOUND".

Das hier macht mich leider auch nicht wirklich schlauer:



Was kann man tun?

Vielen Dank für Eure Hilfe!

PS: mittlerweile hat ClamXav auf der externen Platte in zwei Zip-Archiven auch noch den "Dialer.Stardialer.37" und "Trojan.WinFavorites.Bridge" gefunden. Alles PC-Krankheiten, aber trotzdem WEG DAMIT!

Und vier neue "Oversized.Zip FOUND" Meldungen gibt es auch noch, was das bloß zu bedeuten hat?

Marcel_75@work
Deine Frage ist bestimmt nicht untergegangen.;-)
Ich kann sie zwar nicht beantworten, aber ich habe zuvor mal einfach alle infizierten Dateien in einen entsprechenden Ordner verschoben und ohne Rücksicht auf Verluste gelöscht.
Das soll natürlich keine Empfehlung sein und sollte auch nicht bedingungslos nachgeahmt werden.
Bei mir funktioniert noch alles.
Wenn nicht, dann ziehe ich die wurmstichigen Dateien wieder zurück an ihren alten Platz.;-)
Hast Du nur ein einziges Backup?

Habe "nur ein" Backup, hast Du denn tatsächlich zwei oder mehr? Sollte im Normalfall ja auch ausreichen.

Na mal sehen, vielleicht gibt es ja noch jemand im Forum, der eine Antwort parat hat bezüglich dieser ClamXav-Meldung - ansonsten werde ich wohl mal beim Autor nachfragen, was genau das zu bedeuten hat.

Marcel

also, es wird höchst wahrscheinlich eine Unsichtbare Datei sein, außerdem ein JAVA-virus, also durchaus möglich das der durch Java in Cache gekommen ist, weißt du wie man unsichtbare Dateien löscht?

@Arachnid: nee, dass ich den Ordner "Java Applets" in meinem Ordner Library/Caches nicht sehen konnte hatte sich ja nach dem Neustart (+ Applejack AUTO) erledigt - soll heißen ich konnte ihn sehen und das infizierte File löschen (siehe weiter oben im Thread).

Diese "Suspect.Zip FOUND" und "Oversized.Zip FOUND" Meldungen kommen auf der externen Platte bei ganz normalen und sichtbaren Zip-Archiven.

Siehe Screenshot (ein Beispiel):

marcel

achso, ok, hab ein paar posts übersprungen, viel glück ansonsten noch

Das Tool überprüft wohl die logische Korrektheit von Archiven. Durch unvorhergesehene Daten kann ein Angreifer je nach Wissen und Geschick diverse Dinge anstellen - mal ganz schwammig formuliert. Ein Check auf logische Korrektheit / Konsistenz / "Inhalt entspricht der Verpackungsangabe" wird sichergestellt, daß ein Programm, was das Zip weiterverarbeiten / öffnen würde, nicht mißbraucht wird durch Pufferüberläufe.

Solche Zips können theoretisch durch schlechte Zipper beim Einpacken oder mit Absicht erstellt werden.

Ich sehe mir Zips gerne mit dem Terminal an:
unzip -lv archive.zip
zeigt den Inhalt des Zips an ohne es zu entpacken. Man kann, wenn man unzip -lv getippt hat, die Zipdatei einfach auf das Terminalfenster ziehen.

Sieht man dann Dateien, die zwei Punkte im Namen haben, deutet das auf einen Trojaner für Windows hin.

Wenn eine Webseite ein Java-Applet enthält, dann wird es je nach Browsereinstellung verwendet und daher runtergeladen auf den Rechner und landet in irgendeinem Browser-Cache. Wenn der Cache irgendwann voll ist und das Applet zu den lange nicht mehr genutzen Dateien dort drin gehört, dann wird es gelöscht.

Marcel_75@workJa, ich habe mehrere; ich habe allerdings auch schon Pferde kotzen sehen.;-)

Ist es normal, nur weil alle es tun?;-)

Viel Glück weiterhin.:-)

@MacMark: vielen Dank für die klaren und verständlichen Erläuterungen. Dann werde ich mir die entsprechenden Zip-Archive einfach noch mal gesondert vorknöpfen und gegebenenfalls "cleanen".

Eine letzte Frage noch in die Runde: scannt ClamXav denn "nur" nach Viren, Würmern und Trojanern, oder beinhalten die Virendefinitionsdateien eventuell auch "Mac OS X rootkits"?

Falls nicht: gibt es ein empfehlenswertes Programm für das aufspüren von rootkits?

Hat jemand schon einmal dieses oder dieses Tool getestet und kann über Erfahrungswerte berichten?

ClamAV, welches von ClamXav genutzt wird, sucht auch nach rootkits. In der Onlinedatenbank von ClamAV kann man sich die bekannten rootkits anzeigen lassen.

Allerdings kann ein erfolgreich installiertes, perfektes rootkit jede Erkennung unterbinden. Dazu werden dem Betriebssystem und Antiprogrammen jeweils die Originalversion von Programmen beim Scannen gezeigt, ansonsten jedoch die geänderten Versionen benutzt.

Ein rootkit dient der langfristigen Tarnung, damit niemand erkennt, daß der Rechner übenommen wurde. Das "perfekte" rootkit wird man nur los, wenn man von sauberem Medium bootet und alles formatiert.

Um ein rootkit zu installieren, muß der Angreifer allerdings den Rechner schon erobert haben, sprich mit Adminrechten arbeiten können.

Zips, die man nicht angefordert hat, löschen oder zumindest nicht öffnen. (Können ja zur Not erneut geschickt werden.) Ich betrachte jede Datei, die ich bekomme, als Trojaner. Aus Interesse schaue ich sie mir schonmal per Terminal an mit:
file dateiname (versucht den Typ zu bestimmen)
oder
strings dateiname (gibt enthaltene Zeichenketten aus)