Virus Alert bei Bannerwerbung

[Gast_58706]

So wie sich das die letzten Postings hier anhört wurden also DOCH Viren verteilt?

Es gab eine Änderung an den vBulletin Dateien. Die Datenbank liegt auf einem separaten Server und war von den Angriffen nicht betroffen.

Aktuell überprüfen wir, wie es zu dieser Manipulation kommen konnte. Da am Dateisystem und Server nichts zu erkennen ist, gehen wir aktuell von einer Schwachstelle direkt im vBulletin aus...

Das Passwörter, Email Adressen etc ausgelesen wurde kann absolut ausgeschlossen werden?

 

[Thunderclap]

Das Passwörter, Email Adressen etc ausgelesen wurde kann absolut ausgeschlossen werden?

Emailadressen wären _theoretisch_ möglich.. User-Passwörter liegen nirgends (= auf keinem Server) vor und können dementsprechend auch nicht ausgelesen werden.... nicht einmal von Scorpio höchstpersönlich!

 

[scorpio]

So wie sich das die letzten Postings hier anhört wurden also DOCH Viren verteilt?

Ich weiß nicht, wo du das herausliest. Nach allem was wir wissen und mithilfe einiger Nutzer herausgefunden werden konnte, wurde nichts "verteilt". Auch keine Viren oder sonstiges Getier.

Das Passwörter, Email Adressen etc ausgelesen wurde kann absolut ausgeschlossen werden?

Auf die Datenbank wurde nicht zugegriffen, somit konnte auch nichts ausgelesen werden.

 

[Gast_58706]

Ich weiß nicht, wo du das herausliest. Nach allem was wir wissen und mithilfe einiger Nutzer herausgefunden werden konnte, wurde nichts "verteilt". Auch keine Viren oder sonstiges Getier.

z.B Beitäge 191-193
Sind doch ein paar viele Zufälle?

 

[Thunderclap]

z.B Beitäge 191-193
Sind doch ein paar viele Zufälle?

Würde ich doch stark behaupte... Die 3 Meldungen sind doch alles völlig verschiendene Viren/Trojaner... die werden wohl kaum alle unterschiedlich vom Forum kommen

 

[Gast_99693]

Das Problem ist, dass man sich nicht völlig sicher sein kann.

Die URL des Iframes könnte völlig harmlos gewesen sein (Fehlalarme), sie könnte aber genauso gut auch aktiv Schwachstellen in bestimmten Browser (-Versionen) ausgenutzt haben, was die Beobachtungen von eifelthommy erklären könnte.

Es wäre also einerseits Panikmache, zu sagen, dass das DSLR-Forum auf jeden Fall Viren/Trojaner verteilt hat, andererseits wäre es eine Verharmlosung, zu behaupten, dass dies mit Sicherheit nicht der Fall gewesen ist.

 

[scorpio]

sie könnte aber genauso gut auch aktiv Schwachstellen in bestimmten Browser (-Versionen) ausgenutzt haben, was die Beobachtungen von eifelthommy erklären könnte.

Ich glaube nicht, dass das Avira Virenlabor das dann als "False Prositive" eingestuft hätte.

The file '4fdcf173.vir' has been determined to be 'FALSE POSITIVE'. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Detection will be removed from our virus definition file (VDF) with one of the next updates.

 

[Gast_99693]

Sorry, dieser Post ist bei mir im allgemeinen Threadwirrwar irgendwie untergegangen

Aber der Pessimist in mir gibt zu bedenken, dass die URL vielleicht im Lauf der Zeit verschiedene Sachen ausgeliefert hat.

Der Optimist in mir will übrigens noch anmerken, dass eine händische Überprüfung der IP-Adresse, die NIS bei mir angemeckert hat, auch keinen Befund gebracht hat: 69.64.95.59 gehört laut whois (heise) zur Firma codero.com, die laut urlvoid und mywot vertrauenswürdig ist.

Nur wer hat warum ein Interesse daran, eine URL dieser Firma im DSLR-Forum als Iframe einzubinden

 

[Thunderclap]

69.64.95.59 gehört laut whois (heise) zur Firma codero.com, die laut urlvoid und mywot vertrauenswürdig ist.

Nur wer hat warum ein Interesse daran, eine URL dieser Firma im DSLR-Forum als Iframe einzubinden

Hättest du noch einen Schritt weitergesucht, hättest du gemerkt, dass codero ein Hosting-Service ist, der Server vermietet ... ggf. eben auch an nicht vertrauenswürdige Personen...

 

[eifelthommy]

Es wäre also einerseits Panikmache, zu sagen, dass das DSLR-Forum auf jeden Fall Viren/Trojaner verteilt hat, andererseits wäre es eine Verharmlosung, zu behaupten, dass dies mit Sicherheit nicht der Fall gewesen ist.

Dieser Satz bringt es für mich auf den Punkt. Mir wurde hier viel zu schnell Entwarnung gegeben - noch bevor überhaupt klar war, was eigentlich geschehen ist. Und wenn ich in puncto IT-Sicherheit in der letzten Dekade irgendetwas gelernt habe, dann ist es, dass nichts "unmöglich" ist.

Zitat von eifelthommy:
Da ich jedoch auch Bootsektor-Viren ausschließen möchte: Hat jemand einen Link/Howto parat, mit dem ich mein System definitiv sauber bekomme? (Backup wurde von der Bootdisk mit DriveImage gemacht)

http://www.avira.com/de/support-download-avira-antivir-rescue-system

Danke! Ich dachte jedoch mehr an ein Tool, welches die Bootpartition formatiert und den Bootsektor neu schreibt, sodass "definitiv" nichts mehr zurückbleiben kann.

Gruß
thommy

 

[AHW]

Also das einzige was bei mir vorkam, war 'HTML/Infected.WebPage.Gen2", als Warnung.
Das Ding existiert seit 2007, ist als ziemlich unkritisch eingestuft, befand sich nur im Browser Cache vom Firefox 3.6.17, da hatte ich ihn unabhängig vom DSLR Forum schon mehrfach über die Jahre.
Es macht nichts, er lädt nichts nach, er sendet nichts, existiert einfach nur.
BS Windows 7 64bit Ultimate.
Browser Cahce leeren und 'HTML/Infected.WebPage.Gen2 ist wieder weg.
Avira hält ihn auch für unkritisch, hat einfach Tradition der 'HTML/Infected.WebPage.Gen2.

 

[Thunderclap]

Danke! Ich dachte jedoch mehr an ein Tool, welches die Bootpartition formatiert und den Bootsektor neu schreibt, sodass "definitiv" nichts mehr zurückbleiben kann.

Einfach den Bootsektor neu schreiben... wenn du ganz paranoid bist, einfach formatieren... der Bootsektor ist nichts besonders kritisches...

Abgesehen davon gehören Bootsektorviren irgendwo in die Vergangenheit in die Mitte der 90er, als man sich noch Verbreitungsmöglichkeiten ausdenken musste, die über das reine einlegen von Disketten funktionierte...

Heute sind Bootsektor-Viren kein Thema mehr... ich denke die meisten wären auf heutigen Systemen nicht einmal mehr lauffähig...

 

[eifelthommy]

Danke!

 

[Ockham]

Einfach den Bootsektor neu schreiben... wenn du ganz paranoid bist, einfach formatieren... der Bootsektor ist nichts besonders kritisches...

Abgesehen davon gehören Bootsektorviren irgendwo in die Vergangenheit in die Mitte der 90er, als man sich noch Verbreitungsmöglichkeiten ausdenken musste, die über das reine einlegen von Disketten funktionierte...

Heute sind Bootsektor-Viren kein Thema mehr... ich denke die meisten wären auf heutigen Systemen nicht einmal mehr lauffähig...

Soso. Ich habe mir am Sonntag, als ich hier im Forum unterwegs war, den Rootkit.TDSS.mbr eingefangen. Der exakte Mechanismus ist mir zwar noch nicht klar, aber eine nicht aktuelle Java-Installation hat da möglicherweise auch eine Rolle gespielt. OS W7U, FF4. Und nein, ich war nicht mit Admin-Rechten unterwegs.

Scans mit Avira, Avira Rescue, Kaspersky 10 haben nichts gemeldet. Erst Kaspersky Rescue Disk 10 hat den Übeltäter aufgespürt und gelöscht.

 

[Steffen Rentsch]

Und für eine nicht aktuelle Java-Version ist das Forum verantwortlich zu machen?

LG Steffen

 

[Ockham]

Nein, aber dafür, dass Exploits per Iframe verteilt wurden. Ihr macht euch das ganz schön einfach. Nachdem sich die Meldungen am 30.04. gehäuft hatten, hätte das Forum vom Netz gehen müssen, statt hier Bagatellisierung zu betreiben.

 

[scorpio]

Nein, aber dafür, dass Exploits per Iframe verteilt wurden.

Dafür gibt es keinerlei gesicherte Anhaltspunkte. Du machst es Dir ganz schön einfach, die Infizierung Deines Systems auf's Forum schieben zu wollen.

 

[Ockham]

Die zeitlichen Abläufe sprechen eine sehr deutliche Sprache (Event Viewer, Malware Executables, System Crash etc).

Dein Verantwortungsbewusstsein als Telediensteanbieter scheint offensichtlich gegen Null zu gehen.

 

[scorpio]

Dein Verantwortungsbewusstsein als Telediensteanbieter scheint offensichtlich gegen Null zu gehen.

Keineswegs. Ich lass mir nur nicht alles ans Bein binden. Schon gar nicht die Verbreitung von Rootkits, für die es auch nach den Auswertungen anderer Nutzer und des Avir Virenlabs keinerlei gesicherten Erkenntnisse gibt.

Ich bin sicher auch nicht dafür verantwortlich, wenn Nutzer mit ungesicherten System und veralteter Software mit Sicherheitslücken im Internet unterwegs sind und sich dadurch irgendwelche Malware einfangen.

 

[Ockham]

Keineswegs. Ich lass mir nur nicht alles ans Bein binden. Schon gar nicht die Verbreitung von Rootkits, für die es auch nach den Auswertungen anderer Nutzer und des Avir Virenlabs keinerlei gesicherten Erkenntnisse gibt.

Avira hat bei mir auch nichts gefunden. Da muss man schon geeignetere Tools einseztzen.

Ich bin sicher auch nicht dafür verantwortlich, wenn Nutzer mit ungesicherten System und veralteter Software mit Sicherheitslücken

Davon kann nicht die Rede sein.

im Internet unterwegs sind und sich dadurch irgendwelche Malware einfangen.

Von der ersten Meldung bis zur Beseitigung des iframes hat es geschlagene 24 Stunden gedauert. Anstatt die Meldungen der User Ernst zu nehmen, wurde das Problem geleugnet, herunter gespielt und beschwichtigt.

Es war GROB FAHRLÄSSIG nach der Entdeckung des iframe-codes das Forum weiter am Netz zu lassen.

Dein Verhalten lässt leider nicht erkennen, dass du ein Interesse an deinen Nutzern hast.