Vorgehensweise bei möglicher Kompromittierung

31/03/2009 - 11:31 von Stefan Estendorfer | Report spam
Ich bin mir momentan nicht ganz sicher, wie ich vorgehen sollte.

Ich habe vor 2 Wochen das Programm Hotspot Shield installiert um
amerikanische TV-Shows ansehen zu können, die sich dagegen wehren,
außerhalb der USA gesehen zu werden.

Nachdem das Programm beispielsweise von CNN und dem Wallstreet Jounal
empfohlen wird und ich es direkt vom Hersteller lud ging ich davon aus,
dass das Programm soweit sauber sein müsste. Eine anschließende
Überprüfung mit Avast ergab auch keinen Befund.

Das Programm verfügt über eine Autoupdatefunktion, die am 25.03. aktiv
wurde. Stutzig wurde ich dann, als diese Autoupdatefunktion einen Ordner
auf der Systempartition anlegte und nicht auf meiner zweiten Partition,
wo das Programm eigentlich liegt. Ich lud zur erneuten Überprüfung
Dateien aus dem neuen Ordner bei Virustotal hoch. Bei der neu erzeugten
Uninstall-Datei wurde Virustotal dann fündig. 13/40 Scannern zeigen eine
Infektion mit "Trojan/Win32.IEPass". Offensichtliche Anzeichen einer
Infektion des Systems treten nicht auf, was ja aber bei einem Trojaner
auch nicht weiter verwunderlich wàre.

Was ich mich nun frage ist folgendes. Gibt es eine Möglichkeit zu
bestimmen, ob das Schadprogramm in diesem Uninstaller bereits tàtig
geworden ist? Oder ist allein aufgrund der Tatsache, dass die Datei von
einem Programm nachgeladen wurde und diese scheinbar infiziert ist davon
auszugehen, dass das Schadprogramm auch aktiv geworden ist?

Konsequenz wàre dann natürlich die Formatierung.

Schonmal im Vorraus vielen Dank für die Antworten
 

Lesen sie die antworten

#1 Bernd Hohmann
31/03/2009 - 13:06 | Warnen spam
Stefan Estendorfer schrieb:

Das Programm verfügt über eine Autoupdatefunktion, die am 25.03. aktiv
wurde. Stutzig wurde ich dann, als diese Autoupdatefunktion einen Ordner
auf der Systempartition anlegte und nicht auf meiner zweiten Partition,
wo das Programm eigentlich liegt. Ich lud zur erneuten Überprüfung
Dateien aus dem neuen Ordner bei Virustotal hoch. Bei der neu erzeugten
Uninstall-Datei wurde Virustotal dann fündig. 13/40 Scannern zeigen eine
Infektion mit "Trojan/Win32.IEPass".



Das ist schon anderen Leuten aufgefallen

http://pdfdergi.com/288/hotspot-shi...ogram-vpn/

http://download.cnet.com/Hotspot-Sh...075-1.html

Da HotspotShield AdWare ist könnte es durchaus sein, dass jemand über
die Werbekette irgendwelchen Junk eingeschleust hat - wàre nicht das
erste Mal.

Bernd

Visit http://www.nixwill.de and http://www.spammichvoll.de
&

Ähnliche fragen