Warnung vor Trojaner „Offensive“

Symantec: Angreifer macht Windows völlig unbrauchbar / Wer unüberlegt auf Websites einen "Start"-Button drückt, muss OS neu installieren

Symantec warnt vor einem neuen Trojaner, der Windows PCs absolut unbrauchbar machen kann: Der tückische Angreifer namens „Offensive“ versteckt sich in einer normalen HTML-Seite, auf die User beispielsweise durch eine E-Mail gelockt werden. Wer auf dieser Site einen Start-Button drückt, wie er beispielsweise bei Formularfeldern bekannt ist, macht sich viel unnötige Arbeit.

Sämtliche Icons verschwinden vom Desktop. Außerdem sorgt „Offensive“ dafür, dass kein einziges Programm mehr ausgeführt werden kann. Ein Herunterfahren von Windows ist ebenso unmöglich wie das System im sicheren Modus weiter zu betreiben.

Zwar hat dieser Trojaner nach jetzigem Kenntnisstand noch nicht weltweit großen Schaden verursacht, dennoch steht er aufgrund seiner potenziellen Gefährlichkeit auf den aktuellen Virenlisten weit oben.

Betroffene User haben nur wenige Möglichkeiten: Falls möglich, ist die Registry manuell zu editieren oder durch ein vorher erstelltes Backup zu ersetzen. Wer so unvorsichtig war und keine Sicherheitskopie angefertigt hat, dem bleibt laut Symantec nur ein Ausweg: Die Neuinstallation von Windows.

ZDNet bietet im Download-Bereich einige wirkungsvolle Tools zum Schutz vor Trojanern.

Ist ein PC vom Trojaner befallen, so führt dieser folgende Änderungen in der Registry durch:

Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesExplorer

Values:
RestrictRun
NoChangeStartMenu
NoClose
NoDrives
NoDriveTypeAutoRun
NoFavoritesMenu
NoFileMenu
NoFind
NoFolderOptions
NoInternetIcon
NoRecentDocsMenu
NoLogOff
NoRun
NoSetActiveDesktop
NoSetFolders
NoSetTaskbar
NoWindowsUpdate
Nodesktop
NoViewContextMenu
NoNetHooD
NoEntioeNetwork
NoWorkgroupContents
NoSaveSettings

Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesSystem

Values:
DisableRegistryTools
NoConfigPage
NoDevMgrPage
NoDispAppearancePage
NoDispScrSavPage
NoDispBackgroundPage
NoDispSettingsPage
NoFileSysPage
NoVirtMemPage

Key:
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesWinOldApp

Values:
NoRealMode
Disabled

Keys:
HKEY_CURRENT_USERSoftwareMicrosoft
InternetExplorerMainWindow Title
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerMainWindow Title

Values:
Window Title
Start Page

Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionWinlogon

Values:
LegalNoticeCaption
LegalNoticeText

Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
Internet ExplorerExtensions
{C18CB140-0BBB-11D4-8FE8-0088CC102438}

Values:
ButtonText
CLSID
DefaultVisible
Exec
MenuStatusBar
MenuText

Key:
HKEY_CURRENT_USERSoftwareMicrosoft
Internet ExplorerMenuExthow to * japanese

Key:
HKEY_CLASSES_ROOTDriveshellhow to * japan

Keys:
HKEY_LOCAL_MACHINESoftwareCLASSES.exe
HKEY_LOCAL_MACHINESoftwareCLASSES.reg
HKEY_LOCAL_MACHINESoftwareCLASSES.htm
HKEY_LOCAL_MACHINESoftwareCLASSES.html
HKEY_LOCAL_MACHINESoftwareCLASSES.txt
HKEY_LOCAL_MACHINESoftwareCLASSES.inf
HKEY_LOCAL_MACHINESoftwareCLASSES.dll
HKEY_LOCAL_MACHINESoftwareCLASSES.ini
HKEY_LOCAL_MACHINESoftwareCLASSES.sys
HKEY_LOCAL_MACHINESoftwareCLASSES.com
HKEY_LOCAL_MACHINESoftwareCLASSES.bat

Value:
(default) is set to textfile

Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun

Value:
internat.exe
ScanRegistry
TaskMonitor
SystemTray
LoadPowerProfile

Key:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRunServices

Value:
LoadPowerProfile
SchedulingAgent

Kontakt:
Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)

Themenseiten: Software, Telekommunikation

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

8 Kommentare zu Warnung vor Trojaner „Offensive“

Kommentar hinzufügen
  • Am 24. August 2001 um 10:08 von C.M.

    glaubwürdig ? ja oder nein ?
    Sehr geehrter Herr Fiutak,

    bezüglich Ihres Artikels

    news.zdnet.de/story/0,,t101-s2093722,00.html

    Ich zitiere die entsprechden Stelle:

    "Der tückische Angreifer namens "Offensive" versteckt sich in einer normalen HTML-Seite, auf die User beispielsweise durch eine E-Mail gelockt werden. Wer auf dieser Site einen Start-Button drückt, macht sich viel unnötige Arbeit."

    Es gibt ja wirklich eine ganze Menge an Horror-geschichten rund um Viren/Trojaner – Mythen usw.

    aber diese Beschreibung "[…] auf einer Html – Seite […] einen Start-Button-drückt […]" ist wirklich

    überaus erheiternd !!! Bitte präzizieren Sie Ihre Angaben doch genauer oder noch besser, nennen Sie eine

    internetseite wo man solch einen magischen Start Button findet !

    – muß man auf Bild – buttons achten auch denen Start steht ? oder auf formular – felder ? Oder auf Buttons

    die dem Windows Start – icon ähnlich sehen ? Bitte helfen Sie uns weiter, das ganze Büro lacht !

    Mit freundlichen Grüßen

    c.m.

  • Am 24. August 2001 um 12:20 von pi

    Warnung vor Trojaner
    jo, dann lacht mal schön weida.

    leider ist das die bittere realität mit dem trojan. vorgestern hatte den mir einer per mail geschickt. mein norton virenscanner hat das teil aber entdeckt und ich habe ihn dann "vernichtet". Ein kumpel hatte weniger glück. sein scanner sprach net drauf an und er folgte einem link zu ner html seite. nachdem er die seite geschlossen hatte "lief sein system irgendwie amok" hat er zu mir gesagt. ( buttons waren weg, win explorer ging nimmer etc. Sein system lief aber nach 2 mins wieder einwandfrei) aber nur für 2mins. am nächsten tag hat er ein virenupdate geholt und dann hat er das teil erst entdeckt und gekillt.

    Also weiderlachen jungz :P

  • Am 24. August 2001 um 12:21 von Frank Groenwald

    cp Info > nul
    Hallo News-Melder

    auch ich finde die – an einen Hoax erinnernde – Nennung des überaus gefährlichen "Start"-Buttons schlichtweg desinformativ. So lange nicht erklärt wird, was eigentlich beim Klick auf einen solchen Link wirklich passiert (welche Browser-Einstellungen also wieder mal ausgenutzt werden, weil sie der Standard-Installation entsprechen), ist diese Information KEINE. Daran ändert auch die lange Auflistung von Registry-Einträgen nichts, die wohl einen informativen Wert suggerieren soll. Da sich kaum ein Benutzer die Arbeit machen wird, alle Keys von Hand nachzupruepfen/zurueckzustellen, haette man besser andere Hintergrundinfos (siehe oben) dazu geschrieben.

    Sorry, aber diesmal wars kein guter Dienst…

  • Am 24. August 2001 um 16:26 von Stefan Hofmann

    Weitere Infos im Symantec Viren-Infozentrum
    Unter http://www.symantec.com/avcenter/venc/data/trojan.js.offensive.html kann man im Viren-Infozentrum von Symantec näheres zum Trojaner nachlesen.

  • Am 24. August 2001 um 21:49 von wolfgang zacharias

    Kann ich ZD-Net noch trauen?
    Diese Viren | Trojaner Meldung lässt den üblichen Anhang "…und zerstört Ihre Grünpflanzen im Büro …" vermissen.

    Der Gesamte Text ist schlicht und ergreifend Hoaxmässig.

    Welche von den vielen Windows-Versionen ist davon betroffen?

    Auf welche Webseiten wird man "gelockt"?

    Welche Sicherheitseinstellungen können evtl. verändert werden?

    Theoretisch könnte jeder beliebige HyperLink solche Aktionen auslösen.

    Danke ZD-Net für diese Meldung. Ich erwarte _wesentlich_ mehr Fachkompetenz, das hier ist RTL2 Niveau.

  • Am 24. August 2001 um 22:36 von Markus Gatzke

    …nicht so voreilig!
    Wenn ihr euch mal über die angegebene Referenz, sprich das Symantec Antivirus-Center oder bei McAffe erkundigt hättet, wäre es euch erspart geblieben diesen Artikel so verunglimpfen:

    "Trojan.JS.Offensive is a Trojan horse that comes in the form of an .html file. (It could also be a Web page on the Internet).

    This Trojan exploits ActiveX capabilities, which allows it to modify your browser’s home page, as well as to severely restrict your access to the system. If the Trojan has been activated, you should either contact a computer professional for assistance or consider reinstalling Windows.

    Two variants of this Trojan have been received by Symantec. These variants differ only in the way they are activated:

    The first variant displays one button that contains the text "Start" and it is activated when you click the button.

    The second variant does not display a button, and it will be activated as soon as you open the .html file.

    CAUTION: If Norton AntiVirus detects a file as being infected with Trojan.JS.Offensive, you should delete it immediately. Do not open it."

    http://www.symantec.com/avcenter/venc/data/trojan.js.offensive.html

    oder auch bei McAffee:

    vil.nai.com/vil/dispVirus.asp?virus_k=99189

    schönen Tag noch!

  • Am 25. August 2001 um 9:13 von IRON

    Zum Glück gibts User,die mehr wissen…
    Ein Kumpel mailte mir den Link zu diesem Artikel,weil er weiß,dass ich mich für Security interessiere…

    Die Meldung ist wirklich ein Witz:desinformativ,pauschal,ungenau,wie wir es von Sensationsjournalisten gewohnt sind.

    Der entscheidende Hinweis auf ActiveX-Controls kam von einem User,der sich auf amerikan. Seiten umsah.Typisch!

    Na wie gut,dass mein Netscape mit ActiveX so überhaupt gar nichts anfangen kann und selbst wenn…dass ActiveX kreuzgefährlich ist,müsste sich doch nun langsam herumgesprochen haben….aber denkste !

    http://www.eisenheim.de

  • Am 25. August 2001 um 12:25 von Marc

    Also ActiveX
    Also der Link so Symantec gehört meiner Meinung nach doch in den Artikel. Wenn man sich schon auf Symantec bezieht sollte das ja wohl selbstverständlich sein.

    Dann der Hinweis auf ActiveX (Wer hätte das gedacht? Miese Buttons die Trojaner aktivieren; wer denkt da schon an MSs tolle Erfindung ;-) ).

    Warum steht im Artikel nichts davon. Nur viel "Bild-Zeitungs-Bla-Bla".

    Ich glaube den Lesern des Artikels kann man schon zutrauen, das sie wissen was ActiveX ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *