Problem für den Mac? DHL Javascript (*.js) Virus ? Falsche Mail mit Sendungsankündigung....

Also ich habe jetzt auch nen altes Time Machine Backup draufgezogen.

Kann ich gefahrlos die Dateien, die seit dem letzten Backup hinzukamen und ich vorhin noch händisch gesichert habe, wieder auf das System kopieren? Ein Scan des Ordners auf der externen Festplatte hat keine Treffer ergeben.
 
Das musst Du selber wissen.... Gefahrlos ist relativ...
Denn die Dateien wurden ja erst nach dem UI-Schädlingsbefall -irgendwohin gesichert-....
Da es aber vermutlich eh´n Windows-Schädling war und kein Scanner was meldet... Ist das Risiko vermutlich gering...

Hast du NEU aufgesetzt und migriert aus einem Backup?
Oder nur die Time Machine angeworfen und "die Zeit zurück gedreht"?
 
Ich habe direkt nach dem einschalten cmd+R gedrückt und dort dann "aus Time Machine Update wiederherstellen" gewählt, dabei soll angeblich die gesamte Platte gelöscht worden sein
 
naja... also nicht neu aufgesetzt...
Okay...
Ich habe wirklich MacOS Sierra neu installiert und dann migriert...
 
Aber kommt das nicht aufs gleiche raus? Wenn die Platte erst formatiert wird ist ja alles weg... mein Backup war ja "clean"
 
Wenn´s wirklich clean war... vermutlich ;-)
Meins´war´s definitiv nicht... konnte ja die Uhrzeit sehen... wann das letzt Backup gemacht wurde... auf´m MBPr
Und das war leider nach dem 1. Post hier im Thread... obwohl eigentlich aus war... (aber da geht ja viel im Sleep)...

Deshalb bin ich auf Nummer sicher gegangen. Wenn Du weißt, dass dein Backup sauber war.... ist dein Weg auch okay....
 
Die externe Festplatte lag bei mir zu Hause und ich hatte das Macbook mit auf Arbeit als ich meine Torheit begangen haben, also ja
 
Also - alles gut!
 
Frage ist nun nur noch was mit den Dateien ist, die ich manuell nach der potentiellen Infektionen gesichert habe... Kann man irgendwie verlässlich rauskriegen ob die sauber sind?
 
Das kommt drauf an, von wann der Schädling wirklich ist/war... Sprich, ob aktuelle Scanner den schon erkennen und ob den auch den
richtigen Scanner benutzt hast...
Wenn Du auf Nummer sicher gehen willst... Lässt du es... ganz einfach...
Die Frage ist, was stärker ist, die Phobie oder der Bedarf ;-)
 
Wenn ich noch mal genau nachdenke fällt mir auf, dass ich zum Zeitpunkt des öffnens des javascripts auch diverse Cloud-Dienste aktiv waren... jetzt bin ich mittlerweile gänzlich paranoid und fürchte dass sich dadurch der Schädling einen Weg gebahnt haben kann. Zu abstrus, oder?
 
Werd jetzt nicht wirklich paranoid ;-)


Von so intelligenten MacMalware´s habe ich (noch) nie etwas gehört...
Grundsätzlich ist ja vieles denkbar...
Aber da muss dann schon echt viel Code im script gewesen sein, um das alles abzufangen...
Ich würd mich da jetzt nicht weiter verrückt machen...
 
Glaub mir :D Bin ich schon^^

auch dem gerade erst neu aufgesetztem System trau ich kaum noch... und das obwohl wahrscheinlich von Anfang an schon nichts passiert ist^^
 
eben...
So...
Fred kann gern geschlossen werden :cool:
 
rechnerteam schrieb:
Seltsam, dass die Links rückwärts eingefügt wurden.
Zum Vergrößern anklicken....
hilft halt bei einfachen link-blockern.
Robin235 schrieb:
Leider hatte ich die Datei zunaechst mit Safari geoeffnet (Doppelklick auf die .js Datei). In meinen Safari Einstellungen war Java Script aktiviert :(
Zum Vergrößern anklicken....
es wurde ja schon erwähnt, activex läuft nicht auf safari und befehle wie i=g.GetSpecialFolder(2)... SaveToFile(i,2)... würden dateien im tmp-ordner ablegen. dort kann nach verdächtigen dateien nachgesehen werden.

analyse einer modifizierten variante:
https://malwr.com/analysis/YTEyMjEyNjZhMmFjNDhhNTk0MGVhZDM5Njk5YmY4OWI/

bisher sieht das nach einem reinrassigen windows-downloader aus.

---

warum wird eigentlich immer solange rumlamentiert – werft die dinger einfach bei jotti und virustotal drauf, dann weiss man doch meistens gleich, was drin steckt.

-
 
  • Gefällt mir
Reaktionen: Gwadro
Die Original-.js Datei habe ich leider nicht mehr
Also nachdem ich das alte Backup eingespielt habe, habe ich Sophos runtergeladen, aktualisiert und nen Scan durchgeführt. Das kam dabei raus:

Code: 
2017-04-05 23:42:24 +0200 Scan 'Diesen Mac scannen' started

2017-04-06 01:05:08 +0200 Issue: 'corrupted file' detected in '/private/var/db/systemstats/402CE1B1-62F2-4AB0-8123-3FF604C94993.microstackshots.XXXXXX.gz'
2017-04-06 01:05:08 +0200 Issue: 'corrupted file' detected in '/private/var/db/systemstats/409711EC-B55F-4135-B99C-EDE14CE8130C.microstackshots.XXXXXX.gz'
2017-04-06 02:19:10 +0200 Issue: 'corrupted file' detected in '/usr/local/texlive/2014/texmf-dist/fonts/tfm/adobe/sourcesanspro/SourceSansPro-Regular-tlf-t1.tfm'


2017-04-06 02:48:49 +0200 Files Scanned: 1367096, Threats Found: 0, PUAs found: 0, Issues found: 3

2017-04-06 02:48:49 +0200 Scan 'Diesen Mac scannen' ended - Scan time: 03:06:24

Sind das bedenkliche Issues?

Kann sich Schadsoftware denn einfach an beliebige Datein im System anheften? Oder kann ich bedenkenlos auch die Datein wieder aufs System kopieren, die ich erst nach öffnen des .js auf ne externe platte kopiert habe?
 
in die wird evtl. gerade geschrieben.
die ersten beiden kannst du löschen (evtl. nur im singleuser oder sie sind eh' nach neustart weg).
die gehören zu "sudo systemstats".

die dritte ist eine font-metric, schau sie dir mit "hexdump -C datei" an oder mach die einfach mal mit dem texteditor auf und schau was drin ist.
---
Robin235 schrieb:
Kann sich Schadsoftware denn einfach an beliebige Datein im System anheften?
Zum Vergrößern anklicken....
beliebig nicht, aber dateien die sie erreichen und beschreiben kann, je nach variante.
die von dir gezeigte variante in #37 scheint das aber auch nicht unter windows zu tun,
im gegensatz zur in #75 verlinkten.

-
 
Code: 
00000000  1f 8b 00 12 00 00 00 ff  00 50 00 10 00 10 00 0a  |.........P......|
00000010  1d 7c 00 76 00 00 00 07  29 ea 46 31 00 a0 00 00  |.|.v....).F1....|
00000020  22 45 58 54 45 4e 44 45  44 20 54 45 58 20 46 4f  |"EXTENDED TEX FO|
00000030  4e 54 20 45 4e 43 4f 44  49 4e 47 20 2d 20 4c 41  |NT ENCODING - LA|
00000040  54 49 4e 00 00 00 00 00  13 54 45 58 2d 53 4f 55  |TIN......TEX-SOU|
00000050  52 43 52 4f 2d 52 45 47  55 4c 41 52 00 00 00 00  |RCRO-REGULAR....|
00000060  2d c0 00 00 2d c0 00 00  2d c0 00 00 2d b0 00 00  |-...-...-...-...|
00000070  2d b0 00 00 2d c0 00 00  2d c0 00 00 2d c0 00 00  |-...-...-...-...|
00000080  2d b0 00 00 2d a0 00 00  2d b0 00 00 2d 1d 00 00  |-...-...-...-...|
00000090  2d 1c 00 00 05 26 00 00  0a 50 01 a6 0a 50 01 b0  |-....&...P...P..|
000000a0  16 b0 01 c3 16 b0 01 fb  16 26 00 00 17 50 01 a5  |.........&...P..|
000000b0  17 50 01 a4 1c 30 01 a3  49 30 01 a2 01 60 00 00  |.P...0..I0...`..|
000000c0  00 00 00 00 03 60 01 a1  04 6d 00 00 35 c0 25 a0  |.....`...m..5.%.|
000000d0  3b c1 01 9f 00 00 00 00  00 00 00 00 00 00 00 00  |;...............|
000000e0  12 06 00 00 0b a1 01 9e  16 b0 01 9d 23 a0 00 00  |............#...|

geht noch lange so weiter :D Kann ich nichts mit anfangen^^


Mir scheint du hast richtig Ahnung :) Kannst du mir was zu meiner Zweiten Frage sagen:

Kann sich Schadsoftware denn einfach an beliebige Datein im System anheften? Oder kann ich bedenkenlos auch die Datein wieder aufs System kopieren, die ich erst nach öffnen des .js auf ne externe platte kopiert habe (Bilder, Lightroomkatalog, pdfs etc)?
 
Robin235 schrieb:
geht noch lange so weiter
Zum Vergrößern anklicken....
hilfreich ist's, wenn zumindest anfang und ende gepostet werden, aber lad die datei auf jotti und virustotal hoch (evtl. vorher auf schreibtisch kopieren), dann wird das durch alle möglichen scanner getestet.
---
zu 2., habe ich quasi in #77 beantwortet. absolute sicherheit gibt's leider nicht.
 
Also auf jotti und voristotal wird nichts gefunden für /usr/local/texlive/2014/texmf-dist/fonts/tfm/adobe/sourcesanspro/SourceSansPro-Regular-tlf-t1.tfm

Absolute nicht, aber wenn ich es so durchgehe:

- sehr wahrscheinlich reine windows malware
- Scanner finden nichts
- System neu aufgesetzt
- Scanner finden nichts
- meine variante scheint sich selbst bei windows nicht an andere Dateien anzuheften, auf mac dann wohl erst recht nicht

Damit dürfte das Restrisiko doch nicht größer sein als dass ich mir beim ansteuern der nächsten Streamingseite irgendwas ganz anderes einfange, oder verschätze ich mich da gewaltig?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten