• Herzlich willkommen im "neuen" DSLR-Forum!

    Wir hoffen, dass Euch das neue Design und die neuen Features gefallen und Ihr Euch schnell zurechtfindet.
    Wir werden wohl alle etwas Zeit brauchen, um uns in die neue Umgebung einzuleben. Auch für uns ist das alles neu.

    Euer DSLR-Forum-Team

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • DSLR-Forum Fotowettbewerb neu erfunden!
    Nach wochenlanger intensiver Arbeit an der Erneuerung des Formates unseres internen Fotowettbewerbes ist es Frosty als Moderator
    und au lait als Programmierer gelungen, unseren Wettbewerb auf ein völlig neues Level zu heben!
    Lest hier alle Infos zum DSLR-Forum Fotowettbewerb 2.0
    Einen voll funktionsfähigen Demowettbewerb kannst du dir hier ansehen.
  • Neuer Partner: AkkuShop.de
    Akkus, Ladegeräte und mehr (nicht nur) für Digitalkameras und Drohnen
  • Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2024
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien der Eigenmarken "Upscreen", "Brotec", "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Stimmt ab über die Sieger des DSLR-Forum Fotowettbewerbs März 2024.
    Thema: "Arbeitsmittel"

    Nur noch bis zum 31.03.2024 23:59!
    Jeder darf abstimmen!
    Zur Abstimmung und Bewertung hier lang
  • Frohe Ostern!

    Wir wünschen allen DSLR-Forum Nutzern, ihren Familien und Freunden sowie unseren Sponsoren und Partnern und deren Familien und Freunden ein frohes Osterfest.

    Euer DSLR-Forum Team!
WERBUNG

Virus Alert bei Bannerwerbung

Das habe ich auch schon hinter mir, der hat 174 mal das selbe gefunden:confused:, jetzt ist alles ok...

Moin!
Ich arbeite mit XP SP3, dem IE 8 und habe Avira Antivir Personal [Guard = aktiv] installiert
und auf dem neuesten Stand - und zu keinem Zeitpunkt eine Meldung erhalten.
Auch ein kompletter Systemcheck hat bei mir nichts ergeben.

mfg hans
 
@Scorpio und Thomas: Rein interessehalber: War tatsächlich eine Datei von vBulletin verändert, oder kam das ganze aus der Datenbank?

Es gab eine Änderung an den vBulletin Dateien. Die Datenbank liegt auf einem separaten Server und war von den Angriffen nicht betroffen.

Aktuell überprüfen wir, wie es zu dieser Manipulation kommen konnte. Da am Dateisystem und Server nichts zu erkennen ist, gehen wir aktuell von einer Schwachstelle direkt im vBulletin aus...
 
Hier übrigens das Ergebnis der Analyse im Avira Virus Lab:
The file '4fdcf173.vir' has been determined to be 'FALSE POSITIVE'. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Detection will be removed from our virus definition file (VDF) with one of the next updates.
[FONT=&quot]



[/FONT]
 
Moin!
Ich arbeite mit XP SP3, dem IE 8 und habe Avira Antivir Personal [Guard = aktiv] installiert

Der WebGuard (gibt es IMHO nicht im Antivir Free) untersucht den Datenstrom nach schädlichen Signaturen.
Er funktioniert wie ein Proxy, d.h. bevor die Website im Browser "ausgeführt" wird, durchläuft sie den WebGuard.

Dies ist vor allem hilfreich bei Exploits des Browsers um Schadcode auszuführen.

Der normale Guard des Antivirs schützt vor allem bei Downloads u.ä. Sobald eine Datei gespeichert wird, sollte er anspringen.

Gegen Exploits, welche meist die Ausführung von Schadcode ohne einem Download ermöglichen, hilft er nicht.

Deshalb halte ich den Antivir Free inzwischen nicht mehr für zeitgemäß. Drive-by-Downloads und Exploit-Ausnutzung nimmt immer mehr zu und da bietet Antivir Free keinen Schutz.

Selbst das kostenlose Avast bietet das.


Grüße
 
Aktuell überprüfen wir, wie es zu dieser Manipulation kommen konnte. Da am Dateisystem und Server nichts zu erkennen ist, gehen wir aktuell von einer Schwachstelle direkt im vBulletin aus...

Die Möglichkeit, dass der "Hacker" die Zugangsdaten für das Admin-Panel besitzt besteht nicht?

Dann hätte der Eindringling auch ein Backup der Datenbank erstellen können.
 
Die Möglichkeit, dass der "Hacker" die Zugangsdaten für das Admin-Panel besitzt besteht nicht?

Da die Zugangsdaten des Admin-Users nirgends auf dem Server hinterlegt sind, extrem unwahrscheinlich...

Allerdings liegt der service-account zur Datenbank in einem Configfile (ich gehe aber davon aus dass Scorpio und/oder Thomas nach der aktion dessen passwort geändert haben)
 
Dann wäre aber die Frage, warum er agiert hat, wie er es tat.

Wenn er die DB-Userdaten hätte abgreifen können,
(1) warum Aufmerksamkeit erregen mittels des Exploits?
(2) warum mit dem Exploit noch etwas unterjubeln?
(3) warum nicht gleich das ganze System komprimittieren und zum Botzombie umbauen oder zum Spamrelay?

Ich gehe auch davon aus, dass es
(A) entweder ein false-positive eines Bannerframes war
oder
(B) ein nicht gepatchtes Einfallstor in v3.8.6 existiert(e)

Wenn man nach "vb 3.8.6 vulnerability exploit" sucht, findet man zuhauf.. Auch einen, der kompletten Zugriff auf die DB bietet.

mfg chmee
 
Wenn er die DB-Userdaten hätte abgreifen können,
(1) warum Aufmerksamkeit erregen mittels des Exploits?
(2) warum mit dem Exploit noch etwas unterjubeln?
(3) warum nicht gleich das ganze System komprimittieren und zum Botzombie umbauen oder zum Spamrelay?

Wie hätte er mittels Datenbankzugriff punkt 3 realisieren sollen??! :rolleyes:
Eine Datenbank enthält nur Daten... keinen Code...
 
"Möglicherweise" über eine Schwachstelle im MySQL-System. Einfach mal nach "mysql remote code execution" schauen. Alle Hacks/Bugs führen zu einem Problem, welches einfach oder schwerwiegend ist. Interessant wirds, wenn man per MySQL eine executable (zB per php eval() oder include() ) einschleusen kann, über irgendeinen Aufruf, wo keine Injection/Exploit vermutet wird. Und schon kann man sich der Vulnerabilities von php zuwenden, ein weiteres Einfallstor für script oder systemausführbaren Code. Es war auch nur als mögliche Variante angeführt, da steckt kein bewiesenes Wissen hinter.

Ich bin mit Sicherheit kein Allwissender, aber ich kenne mich mit Programmierung soweit aus, dass ich weiß, dass aktuelle Rechner/Systeme IMMER ein Einfallstor haben werden, ob direkt oder über Umwege.. Und die Umwege können verdammt verworren sein.. (Zum Lesen -> ct Serie Tatort Internet)

Sorry, wir sind (ich bin) dann doch zu sehr abgeschweift.

mfg chmee
 
Zuletzt bearbeitet:
Kurz nach dem ersten Aufruf des Forums meldet WinPatrol bei mir ein neues Programm im Autostart, obwohl ich weder neue Programme installiert noch irgendwelche Updates gemacht habe. Das Entfernen aus der Autostartliste hat nichts gebracht, es wurde ständig neu registriert. Was mir auch nicht gefällt ist, dass Google nichts sinnvolles zu diesem Programm findet:
Name: reli.exe
Ort: C:\Users\"Benutzername"\AppData\Roaming\Nuhed
Sehr merkwürdig sind auch die Dateieigenschaften:

reli.exev7em.gif


AntiVir schlägt bei diesem Programm keinen Alarm. Ich habe die Datei umbenannt und den Rechner neu gestartet.

Ich habe die Datei zum Avira Virus Lab gesendet und das Ergebnis ist nicht erfreulich:

Dateiname Ergebnis
reli.exe MALWARE

Die Datei 'reli.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Spy.ZBot.blwi.1 gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Ein Erkennungsmuster ist mit Version 7.11.07.115 der Virendefinitionsdatei (VDF) hinzugefügt.

Dass dieser Trojaner seinen Weg über das Board in meinen PC gefunden hat, ist natürlich nicht gesagt, aber:
1) Das Programm wurde unmittelbar nach dem ersten Besuch hier im manipuliertem Forum erkannt (als neuer Autostart-Eintrag, jedoch noch nicht als Virus)!
2) Ich war zuvor an diesem Tag ausschließlich auf wenigen "verlässlichen" Seiten (heise.de etc.).
3) Mein letzter (und einziger) erkannter Virus ist 10 Jahre her.
4) Ich bin ein umsichtiger Surfer und treibe mich nicht auf verdächtigen Seiten rum.

Man hat schon Pferde kotzen sehen, aber ich halte es durchaus für sehr wahrscheinlich, dass es einen Bezug zwischen der Viruswarnung und diesem Trojaner gibt.

Da Avira den Trojaner in der Virensignatur erfasst hat, würden mich nun mal Scanergebnisse anderer User hier interessieren.

Gruß
thommy
 
Ich weiß von einem Fall bei dem ebenfalls ein Trojaner zeitgleich mit dem Problem im Forum auf dem Rechner auftauchte. (TR/Dldr.Ba.276652.B)
 
Hi!

Bei mir will sich seit dem ersten Besuch gestern andauernd ein setupxxxxxxxxx.exe installieren. (x steht für wahllose Nummern Kombination)
Die Warnmeldungen wie weiter oben beschrieben, hatte ich auch (AVIRA mit IE 9)

fg
Walter
 
Man hat schon Pferde kotzen sehen, aber ich halte es durchaus für sehr wahrscheinlich, dass es einen Bezug zwischen der Viruswarnung und diesem Trojaner gibt.

Das du dir über den iframe einen Trojaner eingefangen hast, würde bedeuten, dass du eine Kombination aus Webbrowser und einer Betriebssystemversion verwendest, die schwere Sicherheitslücken (--> Remote Codeausführung) aufweist.

Kannst du bitte mal den exakten Patch-Stand deines OS und die genaue Browserversion (ggf. noch die Version des Flash-plugins) posten?

Das ganze halte ich für relativ unwahrscheinlich, da mir in den letzten Wochen kein Auftreten von derart schweren Sicherheitslücken bekannt ist (das wäre über diverse Security-News gekommen)... es sei denn dein OS und dein Browser sind wirklich uralt...
 
Das hängt dann doch auch vom Browser und dessen Version ab. Falls in dem Iframe wirklich versucht worden ist, ein Trojaner zu laden, dann geht das ja nicht einfach so, sondern erfordert die explizite Ausnutzung einer offenen Sicherheitslücke des jeweiligen Browsers in seiner jeweiligen Version. Wobei natürlich noch zu klären ist, ob die benutzte Sicherheitslücke überhaupt schon bekannt ist oder nicht (zero day exploit).

P.S. Hab meinen Rechner gestern noch mit Avira Rescue CD und Norton NIS gescannt, und nichts gefunden. Werde das heute nochmal mit aktuellen Signaturen wiederholen.

Edit: Thunderclap ist mir zuvorgekommen. ABER:
Das ganze halte ich für relativ unwahrscheinlich, da mir in den letzten Wochen kein Auftreten von derart schweren Sicherheitslücken bekannt ist
Aber hallo: http://heise.de/-1234960 - vom 29.04! Passt also zeitlich ziemlich gut (falls FF4 benutzt wurde).
 
Zuletzt bearbeitet:
Danke für die Antworten.

Kannst du bitte mal den exakten Patch-Stand deines OS und die genaue Browserversion (ggf. noch die Version des Flash-plugins) posten?

Würde ich gerne tun...leider bin ich unter der Woche meist nicht zuhause und tippe hier von meinem kleinen, nicht infizierten Netbook aus.

Nur soviel: Auf meinem Rechner läuft Windows 7 mit automatischen Updates und gesurft wird mit dem aktuellsten Firefox (ja, 4!) und Proxomitron, selbstverständlich immer auf aktuellstem Stand.

Gruß
thommy
 
mit dem aktuellsten Firefox (ja, 4!)
oha :eek: ...jetzt wäre es wirklich noch spannend zu erfahren, ob und wann genau der auf 4.0.1 geupdatet wurde.

Ich hab zum Glück zu Hause noch FF 3.6 (wobei NIS ja auch noch zusätzlich geblockt hat), aber hier auf Arbeit schon FF4, allerdings direkt bei Bekanntwerden der Lücken am 29.4 geupdatet (Virenscanner: McAfee). Naja, ich scanne jetzt meinen Arbeitsrechner auf jeden Fall auch noch komplett die nächsten paar Tage... :ugly: ...und auch mit Avira Rescue. Mal sehen... :(

Erst war ich ja auch skeptisch, ob Du Dir das wirklich via dslr-forum eingefangen hast, aber so langsam...:confused:
 
Das klingt alles gar nicht gut :( Ich denke, ich werde am Wochenende mein Backup von vor 1 Woche einspielen, denn auch wenn ich die besagte *.exe durch Umbennen am Starten gehindert habe, muss ja bereits irgendein Prozess dafür gesorgt haben, dass sie ständig neu im Autostart registriert wurde. Mit anderen Worten: Ich traue meinem System nicht mehr über den Weg.

Erst einmal vielen Dank für eure Hinweise!

Da ich jedoch auch Bootsektor-Viren ausschließen möchte: Hat jemand einen Link/Howto parat, mit dem ich mein System definitiv sauber bekomme? (Backup wurde von der Bootdisk mit DriveImage gemacht)

...man hat ja sonst nix zu tun...:grumble:

Gruß und danke
thommy
 
...und auch mit Avira Rescue. Mal sehen... :(

Erst war ich ja auch skeptisch, ob Du Dir das wirklich via dslr-forum eingefangen hast, aber so langsam...:confused:

Ich habe das Forum mindestens 3x mit dem FF4.0 besucht und mich mit dem Account meiner Frau eingeloggt, bin der Meinung noch
das Release vom 27.4 genutzt zu haben...Build? Keine Ahnung.
Mache aber gerade ein Komplettrecover der gesamten HD, da mich Lenovos Security Chip wegen fehlerhafter ID aussperrt (hat also nicht mit dem Forum zu tun) und somit nichts geht (Passwörter ändern usw.), dann schaue ich nach der FF Version.

Ich habe also mit FF4.0x das Forum vor der Beseitigung besucht und anschließend mit Avira Rescue Stand 01.05.11 gescannt, kein Befund!
Hoffe es beruhigt ein wenig.


Da ich jedoch auch Bootsektor-Viren ausschließen möchte: Hat jemand einen Link/Howto parat, mit dem ich mein System definitiv sauber bekomme? (Backup wurde von der Bootdisk mit DriveImage gemacht)

http://www.avira.com/de/support-download-avira-antivir-rescue-system
 
Ich habe mein System jetzt überprüft und habe 4 Viren gefunden, aber alle lassen sich auf eine veralterte Java Version zurückführen.

Durch das Board wurde nichts eingeschleppt.
 
WERBUNG
Zurück
Oben Unten