Virus Alert bei Bannerwerbung

[Gast_112574]

Von der ersten Meldung bis zur Beseitigung des iframes hat es geschlagene 24 Stunden gedauert. Anstatt die Meldungen der User Ernst zu nehmen, wurde das Problem geleugnet, herunter gespielt und beschwichtigt.

Auch wenn ich bereits ähnliche Kritik an der Reaktionszeit geübt habe, solltest du das die Form deiner Aussage mal überdenken. Niemand hat hier absichtlich oder bewusst etwas geleugnet oder heruntergespielt - hinter den Kulissen ist sicher mehr Schweiß geflossen als wir uns vorstellen können.

Aber eine Sache vermisse ich tatsächlich auch:
Es ist offensichtlich, dass das Board (in welcher Form auch immer) Dateien verteilt hat, die auf den Benutzerrechnern mit entsprechender Software als Viren oder Trojaner erkannt werden. Ich habe, weil ich ich meinen WebGuard für das Board deaktiviert hatte, nach der Fehlerbehebung seitens der Admins 49 betroffene Dateien von meinem Rechner (aus dem Browsercache) entfernt die definitiv vorher nicht da waren und zweifelsfrei vom Board stammten.
Ich gehe mal davon aus, dass ich ein Maximum an Vorsicht walten lasse und meinen Rechner schütze - aber was ist mit denen, die ihren Rechner nicht optimal (aus Nachlässigkeit oder Unwissenheit) geschützt haben?
Denen geht es möglicherweise wie dir und die wissen noch nichts von ihrem "(Un-)Glück"! In sofern sollte sich die Boardleitung mal überlegen, in wieweit es sinnvoll sein könnte diesen Vorfall allen Nutzern des Boards bekannt zu machen und ein paar Verhaltenstipps abzugeben, damit jeder mal seinen Rechner prüft und für die Beseitigung der Überreste sorgen kann.

Diese Frage hätte ich dann schon mal gerne beantwortet!

 

[Gast_99693]

...wenn Nutzer mit ungesicherten System und veralteter Software mit Sicherheitslücken im Internet unterwegs sind...

Problem: Definition "veraltete Software". Falls das Iframe wirklich eine Lücke in FF4 ausgenutzt haben sollte (nur mal hypothetisch, ist ja nichts erwiesen), dann wäre der zeitliche Ablauf folgender:

• 29.4: Sicherheitsupdate für FF4 (4.0.1) wird veröffentlicht
• 30.4: Die ersten Warnmeldungen von Sicherheits-Suiten werden von Usern gemeldet

Das ist schon wirklich sehr sehr knapp und der Begriff "veraltete Software" wäre dann etwas zu hart, wenn User am 30.4 noch mit FF4.0.0 unterwegs waren. Auch wenn es "formal" richtig ist.

@Ockham: Welcher FF4-Version genau hast Du am Sonntag benutzt?

 

[Gast_58706]

@Rüdiger:

Kannst du hier bitte mal schreiben seit wann genau das Iframe eingebunden war? (Datum, Uhrzeit).
Das solltest du ja einsehen können?

Damit ich weiß, welche der PCs mit denen ich im DSLR Forum war infiziert sein könnten.

Danke.

 

[-DaKo-]

Es ist offensichtlich, dass das Board (in welcher Form auch immer) Dateien verteilt hat, die auf den Benutzerrechnern mit entsprechender Software als Viren oder Trojaner erkannt werden. Ich habe, weil ich ich meinen WebGuard für das Board deaktiviert hatte, nach der Fehlerbehebung seitens der Admins 49 betroffene Dateien von meinem Rechner (aus dem Browsercache) entfernt die definitiv vorher nicht da waren und zweifelsfrei vom Board stammten.

Kannst du bitte eben die 49 Trojaner bzw. Viren nennen, damit wir das verfolgen können? Oder waren es keinen Viren/Trojaner sondern die lokalen Kopien der Webseite im Browsercache?

 

[NeverAgain]

öhm... ich muss mal blöd fragen.

Ich hab'n Vista. Und 'n kostenlosen Avira. Der hat einmal gemeckert, da hab ich auf 'entfernen' geklickt. Gescannt, Virenfrei.

Muss ich mir jetzt ernsthaft sorgen machen? Worum? Was tun diese Exploits, Rootkits, Viren, Trojaner und das ganze andere Gedöns?

Darf ich jetzt nicht mehr ins Forum?

Oder wird hier jetzt wieder was hochgekocht, was einige wenige Spezies interessiert und massig Details hat, die aber den meisten Usern egal sein können?

Ehrliche Frage!
Gruß
Never

 

[Gast_112574]

Kannst du bitte eben die 49 Trojaner bzw. Viren nennen, damit wir das verfolgen können? Oder waren es keinen Viren/Trojaner sondern die lokalen Kopien der Webseite im Browsercache?

Waren definitiv nur Seiten-Kopien im Cache-Verzeichnis - hier das Logfile ("mit speichern unter" herunterladen)

 

[-DaKo-]

Waren definitiv nur Seiten-Kopien im Cache-Verzeichnis - hier das Logfile ("mit speichern unter" herunterladen)

Ok, danke!

Bisher haben wir damit 2 User, die tatsächlich laut Meldung an besagtem Tag auf ihrem Rechner einen wirklichen Virus/Trojaner gefunden haben und diesen in Zusammenhang mit dem Forum sehen:

Ockham -> Rootkit.TDSS.mbr
eifelthommy -> TR/Spy.ZBot.blwi.1


Hinzu kommen noch 2 nebulöse Meldungen:

Slow -> es versucht sich irgendeine setup???.exe (ob nun Virus/Trojaner oder was ganz anderes steht nicht fest) zu installieren
Siko -> weiß von einem Fall wo ein Trojaner (TR/Dldr.Ba.276652.B) gefunden worden sein soll


Inwiefern diese 4 Meldungen wirklich in Zusammenhang mit dem Forum stehen steht nicht fest. Damit hätten wir derzeit 4 völlig unterschiedliche Einzelfälle (mit 4 völlig unterschiedlichen und zudem in einem Fall lediglich eventuellem Schadprogramm), wovon lediglich 2 wirklich von Usern hier belegt wurden. Das spricht zumindest imho (zusammen auch mit der Entwarnung von Avira und den zahlreichen Schutzprogrammen, welche die Seite zu keinem Zeitpunkt als gefährlich bewertet haben) nicht für eine erhöhte Gefährdung durch das Forum.

 

[eifelthommy]

Dafür gibt es keinerlei gesicherte Anhaltspunkte. Du machst es Dir ganz schön einfach, die Infizierung Deines Systems auf's Forum schieben zu wollen.

"Sich einfach machen" ist es aber auch, wenn zu einem Zeitpunkt Entwarnung gegeben wird, an dem noch niemand wusste, wo überhaupt das Problem liegt! Auch in meinen Augen hätte man das Forum direkt vom Netz nehmen müssen. Aber das ist jetzt gelaufen.

Worum es mir aber noch mehr geht ist, dass hier keine Aufklärung betrieben sondern nur abgewiegelt wird. Die Administration hat in meinen Augen jetzt andere Aufgaben, als nach Gründen zu suchen, warum die Viren unmöglich durch das Forum verbreitet werden konnten!! Mir steht ein Wochenende ins Haus, an welchem ich nun meinen Rechner neu aufsetzen werde - das kostet alles wieder Stunden! Und ich möchte gerne wissen, wo die Lücke war und was potentiell alles beschädigt sein könnte - mir geht es nicht darum einen Sündenbock zu finden!

Bisher haben wir damit 2 User, die tatsächlich laut Meldung an besagtem Tag auf ihrem Rechner einen wirklichen Virus/Trojaner gefunden haben und diesen in Zusammenhang mit dem Forum sehen [...]

Hinzu kommen noch 2 nebulöse Meldungen [...]

Plus Dunkelziffer. Nochmal: Ich habe den Virus nur deshalb gefunden, weil Winpatrol einen neuen Autstart-Eintrag gefunden hat! Der normale WIN-User bekommt das gar nicht erst mit! UND AntiVir hat das File nicht als Virus erkannt! Erst mein Upload zu Avira hat überhaupt zum Eintrag in die Virensignatur geführt!

Ich gehe ziemlich sicher davon aus, dass mein Virus die Folge des korrumpierten Forums war. Die zeitliche Korrelation der beiden Ereignisse, die Häufung der Betroffenen und das Fehlen anderen möglicher Ursachen macht Alternativen sehr unwahrscheinlich...Und wenn der Fehler im Board vielleicht auch nur eine Tür geöffnet hat. Dass Avira nichts findet, heißt doch nichts!

Ich wünschte, hier würden wirklich mal alle Möglichkeiten in Betracht gezogen und weiter nach Ursache gesucht...und vor allem Transparenz geschaffen. Noch mal: Es geht nicht darum, wer Schuld ist - es geht darum, den Schaden so gering wie möglich zu halten.

Gruß
thommy

 

[-DaKo-]

und vor allem Transparenz geschaffen.

Gewrade dafür habe ich oben den derzeitigen Stand der Dinge gepostet. Es gibt derzeit zwei User, welche auf ihrem rechner einen unterschiedlichen Trojaner an diesem Tag gefunden haben und diesen mit dem Forenbesuch in Verbindung bringen.

Eine "Häufung" (aufgrund von 2 verschiedenen Schadsoftwaren auf 2 verschiedenen Rechnern) kann ich nicht erkennen, inwiefern auf beiden betroffenen Rechnern nicht doch andere Gründe für die Infektion in Frage kommen kann ich ebenfalls nicht bewerten.

Im Gegenzug haben Prüfungen der Forenhomepage durch zahlreiche andere Virenscanner (im Gegensatz zu Avira, Kaspersky und Vipre) keine Gefahr gezeigt, Avira hat seine Warnung zurückgezogen.

Bezüglich des (entfernten) iframes ist vBulletin informiert und beschäftigt sich damit.

Das ist ganz transparent ohne etwas abzuwiegeln oder zu dramatisieren der Stand der Dinge.

 

[scorpio]

Und ich möchte gerne wissen, wo die Lücke war

Das würden wir auch gerne wissen. Aber nicht mal das vBulletin-Team kann uns dazu bisher Anhalte geben.

und was potentiell alles beschädigt sein könnte

Nach den bisherigen Erkenntnissen wurde weder etwas auf Nutzerseite beschädigt, Dateien des Nutzers infiziert, noch irgendwelche Daten, auch nicht von den Servern des Boards ausgespäht. Von einigen Virenscannern wurden die Seiten des Boards geblockt, weil eine Seite, auf die per Iframe verwiesen wurde, als mit dem "HTML/Infected.WebPage.Gen2" infiziert eingestuft wurde, was nach Untersuchung des Avira-Labs aber ein Fehlalarm war.

Nach Entfernen des IFrames unsererseits und dem Leeren des Browsercaches auf Nutzerseite sind keine weiteren Meldungen mehr aufgetaucht.

Plus Dunkelziffer. Nochmal: Ich habe den Virus nur deshalb gefunden, weil Winpatrol einen neuen Autstart-Eintrag gefunden hat! Der normale WIN-User bekommt das gar nicht erst mit! UND AntiVir hat das File nicht als Virus erkannt! Erst mein Upload zu Avira hat überhaupt zum Eintrag in die Virensignatur geführt!

Ich gehe ziemlich sicher davon aus, dass mein Virus die Folge des korrumpierten Forums war.

Und ich gehe davon aus, dass dem nicht so war und hier ein Zufall vorliegt.

Die zeitliche Korrelation der beiden Ereignisse, die Häufung der Betroffenen und das Fehlen anderen möglicher Ursachen macht Alternativen sehr unwahrscheinlich...

Ich halte es für äußerst unwahrscheinlich, dass es einem Zusammenhang gibt, der lediglich bei einem oder zwei Nutzern von mehr als 15.000 an jenem Tag aufgetreten ist. Wenn es einen gäbe, so sollten jetzt, nachdem die Kennung des von Dir erkannten Virus in der Definitionsdatei ist, einige Betroffene mehr finden, bei denen der Scanner anschlägt.

Und wenn der Fehler im Board vielleicht auch nur eine Tür geöffnet hat. Dass Avira nichts findet, heißt doch nichts!

Wenn es danach geht, darfst Du keinem Scanner und keiner Warnmeldung der Welt mehr trauen und Dich überhaupt nicht mehr ins Internet begeben.

Was bitte sollen wir denn noch machen?

 

[scorpio]

Kannst du hier bitte mal schreiben seit wann genau das Iframe eingebunden war? (Datum, Uhrzeit).

Das IFrame muss am 29.04. gegen 11:45 eingeschleust worden sein.
Wie das passieren konnte, kann uns bisher niemand erklären.

 

[Gast_99693]

Ich halte es für äußerst unwahrscheinlich, dass es einem Zusammenhang gibt, der lediglich bei einem oder zwei Nutzern von mehr als 15.000 an jenem Tag aufgetreten ist.

Da ist natürlich was dran. Danke für die Anmerkung, da hätte ich jetzt gar nicht dran gedacht. Außerdem wäre dann google voll mit Treffern für "dslr-forum" + "virus", ist es aber nicht (außer den Forums-Einträgen hier und bei Avira).

 

[Siko]

Was bitte sollen wir denn noch machen?

Ich hab von dem ganzen Virenzeugs zu wenig Ahnung, aber eins steht mal fest...

Du als Admin dieses Forum schreibst uns hier in einer Gelassenheit die ihres gleichen sucht und dass von Anfang an. Deine Worte erwecken den Eindruck einer gewissen Gleichgültigkeit. Jedenfalls kommt es den wenigsten so vor als würdest du alles daran setzen die User hier aufzuklären bzw über mögliche Gefahren zu unterrichten.

Ohne dir jetzt ans Bein pinkeln zu wollen... aber du scheinst momentan als Admin dieses Forums mit den Sorgen der User über diesen "Vorfall" überfordert zu sein.

Zwar gibt keine "sicheren" Erkenntnisse über Virenbefall aus dem Forum, aber es gibt eben auch keine hundertprozentige Entwarnung. Und solange diese sichere Entwarnung nicht gegeben werden kann, wäre eine offizielle Stellungnahme der Forumsleitung, sichtbar für ALLE User, wohl mehr als angebracht.

 

[-DaKo-]

Zwar gibt keine "sicheren" Erkenntnisse über Virenbefall aus dem Forum, aber es gibt eben auch keine hundertprozentige Entwarnung. Und solange diese sichere Entwarnung nicht gegeben werden kann, wäre eine offizielle Stellungnahme der Forumsleitung, sichtbar für ALLE User, wohl mehr als angebracht.

Es gibt folgende 2 sichere Erkenntnisse:
1. Das iframe ist entfernt, es geht aktuell von dem Forum keine Gefahr aus.
2. Avira hat seine Meldung, dass von dem Forum eine Gefahr ausginge als falsch bewertet und widerrufen.


Was möchtest du denn mehr an Sicherheit haben?

Ohne dir jetzt ans Bein pinkeln zu wollen... aber du scheinst momentan als Admin dieses Forums mit den Sorgen der User über diesen "Vorfall" überfordert zu sein.

Was soll denn der Betreiber nun deienr Meinung nach tun? Derjenige, der die Gefahrmeldung ausgelöst hat hat einen Fehler eingeräumt - sollte man dieser Meldung nicht genau so trauen, wie der vorherigen, dass eine Gefahr vorläge? Was hat der Admin des DSLR-Forums damit zu tun? Was läßt dich auf Überforderung schließen?

 

[Siko]

Was soll denn der Betreiber nun deienr Meinung nach tun? Derjenige, der die Gefahrmeldung ausgelöst hat hat einen Fehler eingeräumt. Was hat der Admin des DSLR-Forums damit zu tun? Was läßt dich auf Überforderung schließen?

Die User informieren mehr nicht.

Diesen Thread lesen die wenigsten.

EDIT: Überforderung...

Ich meinte nicht die Überfordung als Admin an sich, sondern mit den Ängsten der User. Die User die Bedenken äußerten wurden von Anfang an nie ernst genommen.

 

[-DaKo-]

Die User informieren mehr nicht.

Worüber? Dass Avira eine Falschmeldung getätigt hat?

 

[Bildermichel]

Zwar gibt keine "sicheren" Erkenntnisse über Virenbefall aus dem Forum, aber es gibt eben auch keine hundertprozentige Entwarnung.

Die gibt es für das gesamte INet nicht,weder hier noch auf irgend einer anderen Seite.
Wenn Du so eine Angst vor Viren und ähnlichem hast dann wäre es das Beste Dein INet ganz abzustellen.
Es wurde hier jetzt mehrfach darauf hingewiesen das es ein Fehlalarm von Avira war und was Rüdiger unternommen hat.
Was Bitte soll Rüdiger noch tun
Ich finde es auch zweifelhaft jetzt jeden Virus,Trojaner usw. auf das DSLR Forum zurück zu führen
Ich bin jeden Tag hier habe Gdata IS 2012 und keinen Alarm gehabt,durch die Hysterie hier habe ich mein System mit einer Boot CD gescannt,wie zu erwarten war kein Befund
Bei einem Freund mit Bit Defender ebenfalls keine Warnung und kein Befund.
mfg Michael
PS: Ich meine Rüdiger und Thomas haben genau richtig gehandelt .

 

['Ingo]

Ich hab von dem ganzen Virenzeugs zu wenig Ahnung, aber eins steht mal fest...

Du als Admin dieses Forum schreibst uns hier in einer Gelassenheit die ihres gleichen sucht und dass von Anfang an. Deine Worte erwecken den Eindruck einer gewissen Gleichgültigkeit. Jedenfalls kommt es den wenigsten so vor als würdest du alles daran setzen die User hier aufzuklären bzw über mögliche Gefahren zu unterrichten.

Ohne dir jetzt ans Bein pinkeln zu wollen... aber du scheinst momentan als Admin dieses Forums mit den Sorgen der User über diesen "Vorfall" überfordert zu sein.

Neh sorry, also wenn du keine Ahnung von Viren hast, dann urteile bitte Rüdiger nicht so ab, das sollen wenn dann die User machen, die wissen wovon sie reden.

Die teilweise grenzwertige Hysterie hier, erinnert ein wenig an durchdrehende Mütter die erstmal loskeifen, wenn junge Menschen im Auto und defektem Auspuff durch die Zone 30 rollen.......^^

Wenn ich Kritik üben müsste, dann dass das Forum noch relativ lange mit dem offensichtlich fremden iframe am Netz blieb, ich hätte den wohl kurzfristig versucht aus dem Code zu schmeissen und das Forum solange Offline geschaltet. Auf der anderen Seite haben sich dadurch diverse User mit KnowHow "live" beteiligt und sicher auch für beruhigendes Feedback gesorgt.

 

[Torsten_HB]

Wer nicht in der Lage ist seinen PC zu schützen, sollte nicht ins WWW abtauchen. Seitenbetreiber für die eigene Nachlässigkeit in die Pflicht zu nehmen, finde ich "etwas" daneben.

 

[Gast_58706]

Das IFrame muss am 29.04. gegen 11:45 eingeschleust worden sein.
Wie das passieren konnte, kann uns bisher niemand erklären.

Danke dir für diese Aussage, damit kann ich was anfangen