Virus durch manipulierte Dateien?

[KDKPhoto]

Das Avira-Virenlab ist schon seit dem 1. Mai über diese Art Angriff informiert.

Gut und welche Rückmeldung habt ihr auf Grund des gestrigen Vorfalls erhalten? Ihr habt doch sicherlich sofort Kontakt aufgenommen oder?

 

[Georgius]

Ich denke wenn der Forumsbetreiber sich an einen Anbieter wie Avira wendet hat es mehr Gewicht. Und wenn es mehrere Foren betrifft, wäre es noch wichtiger zu melden und Kontakt aufrecht zu halten, damit eine schnelle Lösung gefunden wird!

Das Problem des Forums ist nicht der Virus. Das Forum hat keinen Virus. Es wird ein Virus verteilt (und der ist beliebig austauschbar). Da kann Avira dem Forum überhaupt nicht helfen.

 

[scorpio]

Gut und welche Rückmeldung habt ihr auf Grund des gestrigen Vorfalls erhalten? Ihr habt doch sicherlich sofort Kontakt aufgenommen oder?

Bist Du wirklich der Meinung, dass Avira alles stehen und liegen lässt und sich nur noch um unsere Meldung kümmert?

Im Übrigen:
Gehe mal bitte dem Link zum vB-Forum nach, den ich weiter vorn gepostet habe, und Du wirst sehen, dass erstens nicht nur wir betroffen sind, sondern etliche Foren, die mit der vB-Software areiten (und zwar auch solche mit der aktuellen Version 4) und zweitens seit mehreren Monaten sogar hochbezahlte IT-Spezialisten das Leck suchen, aber nicht finden.

 

[scorpio]

Das Problem des Forums ist nicht der Virus. Das Forum hat keinen Virus. Es wird ein Virus verteilt (und der ist beliebig austauschbar). Da kann Avira dem Forum überhaupt nicht helfen.

Das scheint einigen nicht klar zu sein.

 

[coppy]

Diese Art Angriff betrifft so ziemlich jedes Forum, welches vBulletin einsetzt. Siehe dazu auch:
http://www.vbulletin.com/forum/showthread.php/372307-My-site-keeps-getting-hacked-!

Wenn ich das so lese, sollte man betroffene Foren (es sind keineswegs alle Foren betroffen, siehe die Postings dort) offline nehmen.

Dort ist die Rede, dass die Datei immer wieder editiert wird oder gar das JS irgendwo auf dem Weg injected wird. Nur durch den Austausch der veränderten Dateien (so wie ihr es in der Ankündigung als Lösung aufführt) scheint das Problem nicht beseitigt worden zu sein - es könnte im Grunde jederzeit wieder passieren...

 

[Georgius]

Ja, solange das Leck nicht gefunden wird kann es jederzeit wieder passieren.

 

[KDKPhoto]

Das Problem des Forums ist nicht der Virus. Das Forum hat keinen Virus. Es wird ein Virus verteilt (und der ist beliebig austauschbar). Da kann Avira dem Forum überhaupt nicht helfen.

Sehr wohl kann Avira helfen, denn es ist ein Virus / Trojaner was auch immer. Es geht darum ihm zu erkennen und zu blockieren. Wie man sich den hier eingefangen hat ist egal. Im Interesse der User könnt Ihr natürlich auf dieser Ebene Kontakt aufnehmen. Gibt es denn eine Aussage was sie unternommen haben seit 1. Mai?

 

[Xin]

Schön wäre es. Aber leider Wunschdenken. Es kam kein Hinweis. Es kam einfach garnichts. Trotz aktueller Software (Win7 mit automatischen Updates, Firefox erst kürzlich upgedatet,..),

Doch kam, es war ein gelbes "Band" das mitgeteilt hat, das ein Plugin fehlen würde. Da ich Firefox 4.x nutze habe ich das ganz schnell geschlossen, denn das gelbe Band gibt es nicht mehr im 4er Firefox.

 

[Georgius]

Ja, aber wir haben nichteinmal den Virus. Das können nur User melden die ihn haben. Und umso mehr es tun umso wichtiger wird es genommen.

 

[nototious]

Ja, solange das Leck nicht gefunden wird kann es jederzeit wieder passieren.

Beruhigende Neuigkeiten für die "jetzt-noch-Windows-Nutzer".

 

[scorpio]

Sehr wohl kann Avira helfen, denn es ist ein Virus / Trojaner was auch immer. Es geht darum ihm zu erkennen und zu blockieren. Wie man sich den hier eingefangen hat ist egal. Im Interesse der User könnt Ihr natürlich auf dieser Ebene Kontakt aufnehmen. Gibt es denn eine Aussage was sie unternommen haben seit 1. Mai?

Die Kennung sollte in eines der nächsten Updates eingepflegt werden. Nutzt aber auch nur bedingt, weil - wie georgius schon geschrieben hat - der Schädling beliebig ausgetauscht werden kann. Ist hier ja auch geschehen. Der Schädling gestern war ein anderer als der am 1. Mai. Und wie geschrieben: Er ist gar nicht auf unseren Servern.

 

[KDKPhoto]

Ja, aber wir haben nichteinmal den Virus. Das können nur User melden die ihn haben.

Dann macht doch eine Umfrage unter den Usern und bittet die Infos an Euch oder an Avira zu senden. Vielleicht ist es sogar besser wenn Ihr die Zusammenfassung übernehmt, dann wisst Ihr auch mehr über den Virus!

 

[nototious]

Ja, aber wir haben nichteinmal den Virus. Das können nur User melden die ihn haben. Und umso mehr es tun umso wichtiger wird es genommen.

Wer Probleme hatte, soll bitte die genaue Beschreibung hier posten, am besten auch die Leute die ihre Screenshots etc. bereits in diesem Thread gepostet haben:
https://www.dslr-forum.de/showthread.php?t=882043

 

[jamesuk]

Ist eigentlich irgend jemand betroffen, der nicht mit Firefox surft?

Alle Betroffenen waren doch bislang Firefox Nutzer, wenn ich nichts übersehen habe.

Vielleicht ist ja Firefox das Einfallstor für die Bedrohung.

 

[jd-photography]

Sehr wohl kann Avira helfen, denn es ist ein Virus / Trojaner was auch immer.

Leider nein, denn dies wird das generelle Problem nicht lösen. Nur wenn die Lücke in vbulletin gefunden wird kann sie geschlossen werden. Ansonsten kann morgen jeder x-beliebige andere Virus über das gleiche Leck den nächsten Angriff starten...

Viele Grüße,
Jörg

 

[Xin]

Also ich habe den Firefox und ich habe keinen Virus. Ich vermut eher Java als Einfallstor. Ich habe Java deaktiviert und bekam die Meldung das ein Plugin fehlt, bei anderen hier habe ich gelsen, dass bei ihnen Java aufging.

Habt ihr alle Java aktualisiert? Aktuell ist: 1.6.0.25

 

[zool-78]

Ist eigentlich irgend jemand betroffen, der nicht mit Firefox surft?

Alle Betroffenen waren doch bislang Firefox Nutzer, wenn ich nichts übersehen habe.

Vielleicht ist ja Firefox das Einfallstor für die Bedrohung.

Ja, ich habe Opera 11 (neuste Version), mit Win 7 auch alle Update in meinem Temp Verzeichnis findet sich eine setup5421621342.exe welche gester mit einem PopUp welche ein nachgemachtes Java Fensterchen war irgendwas installieren wollte. Avira meldet nun beim scannen des Temp Ordners
TR/Alureon.DX.267 wäre gefunden wurden in der Setup Datei. Ich frag mich nun nur ob das entfernen mittels Avira mich auch wirklich wieder "reinwäscht".

Interessant ist übrigens noch das MS Security Essentials nichts findet. Ist trotz Auto Update wohl nich so fix.

mfg

 

[coppy]

Da ich Firefox 4.x nutze habe ich das ganz schnell geschlossen, denn das gelbe Band gibt es nicht mehr im 4er Firefox.

Doch, das gibt es auch im FF4.
Und der Hinweis auf die Installation des Plugins war nicht das Problem selbst - nur öffnete man offenbar durch die Installation des Plugins (außer, es war gar schon installiert) die Möglichkeit für den Schädling, sich auszuführen.

 

[4zap]

Also die IP, die gestern bei dem Angriff auf meinen PC benutzt wurde führt ins Leere, Kiddies sind das wohl nicht. Wäre ich mal gestern schon auf die Idee gekommen...

Wie war die IP denn?

Ich hab das Forum angeklickt über eine Win7 Evaluierungsversion, d. h. ich arbeite in einer Nerzwerksimulation mit mehreren virtuellen Maschinen. Die hab ich einfach gelöscht, da kein produktives System. Also Glück gehabt.
Ich bin selbst Moderator/Admin in einem vbulletin Board und würde mir detailierte Angaben über die Komprmitierung seitens der Betreiber wünschen.

 

[scorpio]

Ich bin selbst Moderator/Admin in einem vbulletin Board und würde mir detailierte Angaben über die Komprmitierung seitens der Betreiber wünschen.

http://www.vbulletin.com/forum/showthread.php/372307-My-site-keeps-getting-hacked-!