Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- Trojaner: Wareout (https://www.dedies-board.de/wbb2/thread.php?threadid=836)

Geschrieben von MobyDuck am 11.09.2005 um 10:40:

  Trojaner: Wareout

Eigentlich gehört dieser Beitrag in den Thread "aus anderen Foren". Ich finde die Geschichte jedoch gerade für unerfahrene User ganz interessant. Mache daher mal einen eigenen Thread auf.

Bei meinen Streifzügen durch die Foren fiel mir folgender Eintrag auf:
Zitat:
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"

Komisch. Der Eintrag findet sich immer nur auf Systemen, die mit Malware verseucht sind. Beispiel gefällig? Gerne:
http://www.trojaner-board.de/showthread.php?t=21661

Was ist das nun für ein seltsames Programm, das sich auch noch die Freiheit nimmt, einen Autostart zu veranstalten?

Die Homepage von WareOut findet sich schnell. Man landet auf einer Seite, die auf den 1. Blick recht professionell aussieht. Man achtet ja nicht gleich darauf, dass das Impressum fehlt. Auch die Folgeseiten sind unauffällig. Es finden sich die üblichen Ausführungen zu Spyware im Allgemeinen und den Vorzügen des Programms im Besonderen. Der geneigte User kann die Vollversion auch für schlappe 33 Dollar runterladen. Kreditkarten werden akzeptiert...

Der Button "Free scan" funktioniert auf meinem Linux-System nicht. Ich habe nicht vor, ihn unter Windows auszuprobieren. Die Funktion bleibt daher im Dunkeln. Egal.

Doch wie bringt man dieses Programm unter die Leute? "Spysheriff" hat es vorgemacht: Wagt sich der User mit einem schlecht gewarteten System in die Seitengassen des Netzes, dann poppt ein Fenster auf, das darüber informiert, der Computer sei verseucht. Aber mit "Wareout" könne man das Problem beseitigen. Praktischer Weise hat sich WareOut zu diesem Zeitpunkt bereits ungefragt und selbständig installiert.

Was passiert dann? Das Programm installiert diverse ausführbare Dateien.Einzelheiten stehen hier:
http://www.easydesksoftware.com/news/news29.htm

Ach ja, löschen kann das Programm auch. Nur keine Spyware. Aber dafür versucht es, diverse Programme zu löschen und die Systemwiederherstellung zurückzusetzen. Einzelheiten finden sich unter obigem Link.
Und wie kommt die übrige Malware ins System der Betroffenen? Keine Ahnung - das ist wie mit dem Huhn und dem Ei. Kann sein, dass WareOut diese Schädlinge gleich mitbringt. Das Programm ist ja praktisch veranlagt. Möglich ist auch, dass andere Schädlinge WareOut mitbringen. Oder sie haben mit WareOut gar nichts zu tun und wurden nur vom leichtsinnigen User gleich mit eingesammelt.

Jedenfalls: Entfernt hat WareOut andere Schädlinge nicht. Warum auch? Kollegen lässt man schließlich in Ruhe.


Geschrieben von cronos am 11.09.2005 um 11:35:

 

Alles in allem ist das ein ganz netter Vertreter der neueren Malwaresorte.
Smitfraud hats ja vorgemacht.Da hatte ich auch schon Kanditaten, die sich das Programm aufgrund der Warnmeldung gekauft haben.PSGuard war wohl weg-leider blieb die wininet.dll weiter infiziert. Petzauge

Aber alles in allem ist Wareout ein sehr gutes Beispiel.Die Seite sieht tatsächlich Professionell aus.Da installiert sich der ONU doch gern ein solches Programm.
Leider ist der Rattenschwanz, den die Installation nach sich zieht so lang, dass man dem User schon fast eine Neuinstallation empfehlen könnte.Über Fernwartung kriegst du das nämlich niemals wieder richtig sauber.

Ich bin gespannt, was da noch alles kommt!


Geschrieben von soul115 am 11.09.2005 um 18:06:

 

Wenn ich das so sehe, fürchte ich, dass es für den Otto-Normal-User zunehmend schwieriger wird, gut und böse zu unterscheiden.

Zu Wareout habe ich hier auch noch eine Information gefunden. Und im Hijackthis.de-Supportforum gibt es einen Remover, ausprobieren möchte ich das allerdings nicht.


Geschrieben von dedie am 11.09.2005 um 19:39:

 

Aus dem "Removerlink" von soul115,

Zitat:
Ich sag mal: Glück gehabt, es gibt leider viele Varianten diese Infektion und dieser Remover entfernt nur eine (aber vielleicht die hartnäckigste) davon.


Bin im moment am überlegen ob ich über solche Aussagen lachen oder heulen soll grübeln


Geschrieben von DerBilk am 11.09.2005 um 19:56:

cool

solange du es nicht 'dort' kommentierst, ist's eigentlich egal... großes Grinsen
Es sei denn, du hast Lust auf eine Meta-Diskussion, dann lass dich nicht aufhalten... fröhlich


Geschrieben von dedie am 11.09.2005 um 20:52:

 

Heute nicht mehr, Sonntags hab ich selten lust auf diese CB abbonierenden PC-Spezialisten Augen rollen


Geschrieben von cronos am 11.09.2005 um 21:27:

 

[Edit]

Sorry, der Link wurde ja schon oben gepostet. dumm [/Edit]