 Infizierte Webseiten |
Willkommen, Gast ( Anmelden | Registrierung )
  |
 14.01.2014, 10:48
Beitrag
#1701
|
|
 Wohnt schon fast hier  Gruppe: Mitglieder Beiträge: 1.191 Mitglied seit: 07.08.2007 Mitglieds-Nr.: 6.352 Virenscanner: G DATA  |
Nein. Die Grafik enthält in den Meta Informationen PHP Quellcode der über einen Exploit auf einem Webserver zur Ausführung gebracht werden kann.
Der Artikel von Kaspersky (http://www.viruslist.com/de/weblog) ist nicht ganz korrekt. Die schreiben am Anfang von JavaScript, es ist aber PHP. gzinflate gibt es bei JavaScript nicht und zudem fängt das Skript auch mit "<?" an. Wenn ihr so eine Grafik habt, einfach mal mit einem Texteditor aufmachen und nach "gzinflate" suchen. Das angehängte externe JavaScript ("<script src=...") was auch bei viruslist beschrieben wird sollte eigentlich kein aktueller Browser öffnen und erst recht keine Bildbetrachtungssoftware. Eine bessere Beschreibung gibt es übrigens hier: http://blog.sucuri.net/2013/07/malware-hid...if-headers.html |
 |
 
|
|
14.01.2014, 11:31
Beitrag
#1702
|
|
 Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
Mittlerweile ist es das Bild Nr. 11 neben dem Bild mit den Palmen, es sind nicht alle Bilder betroffen warum auch immer.
|
|
|
|
|
14.01.2014, 23:28
Beitrag
#1703
|
|
 War schon mal da Gruppe: Mitglieder Beiträge: 10 Mitglied seit: 14.01.2014 Mitglieds-Nr.: 9.784 |
Prima Thread, wirklich sehr nützlich!
-------------------- Ein kleiner Feind, dies lerne fein, will durch Geduld ermüdet sein
|
|
|
|
| Gast_blueX_* |
15.01.2014, 19:48
Beitrag
#1704
|
|
Gäste |
ZITAT(scu @ 14.01.2014, 11:47)  Nein. Die Grafik enthält in den Meta Informationen PHP Quellcode der über einen Exploit auf einem Webserver zur Ausführung gebracht werden kann. Der Artikel von Kaspersky (http://www.viruslist.com/de/weblog) ist nicht ganz korrekt. Die schreiben am Anfang von JavaScript, es ist aber PHP. gzinflate gibt es bei JavaScript nicht und zudem fängt das Skript auch mit "<?" an. Wenn ihr so eine Grafik habt, einfach mal mit einem Texteditor aufmachen und nach "gzinflate" suchen. Das angehängte externe JavaScript ("<script src=...") was auch bei viruslist beschrieben wird sollte eigentlich kein aktueller Browser öffnen und erst recht keine Bildbetrachtungssoftware. Eine bessere Beschreibung gibt es übrigens hier: http://blog.sucuri.net/2013/07/malware-hid...if-headers.html Ich meine mich erinnern zu können, gelesen zu haben, dass solche Malware über die Bildvorschau installiert wird. Es sei nicht einmal der Start der Datei notwendig. |
|
|
|
| Gast_blueX_* |
15.01.2014, 20:32
Beitrag
#1705
|
|
Gäste |
ZITAT(citro @ 14.01.2014, 12:30) Mittlerweile ist es das Bild Nr. 11 neben dem Bild mit den Palmen, es sind nicht alle Bilder betroffen warum auch immer. Da sind mehrere infizierte Files vorhanden: https://www.virustotal.com/de/file/9c265b0a...sis/1389812193/ Und man merkt an diesem Beispiel, wer wirklich gute Signaturen erstellt. |
|
|
|
|
21.01.2014, 22:10
Beitrag
#1706
|
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.051 Mitglied seit: 15.10.2006 Mitglieds-Nr.: 5.448 Betriebssystem: Win7 Prof. x64 Virenscanner: GDATA TP 20xx Firewall: GDATA TP 20xx |
Aktuelle Spam-Welle von Telekom Rechnungen:
Rechnung sieht optisch sehr gut aus (korrektes Deutsch), beinhaltet aber natürlich eine falsche Kundennummer und einen Link auf die Rechnung, welcher jedoch auf eine russische Website zeigt. Zusätzlich ist der Absender gefälscht und es erscheint nur optisch die Telekom. Scanergebnis: - Website https://www.virustotal.com/de/url/71bd6c44b...sis/1390338071/ - gefälschte Rechnung https://www.virustotal.com/de/file/ed95c6cf...sis/1390338123/ G Data 2015 Beta blockt weder die Website noch den Download. Führt man das Sample jedoch aus, dann unterbindet die Verhaltensüberwachung eine Infektion. Leider ist damit auch meine Winrar.exe in der Quarantäne verschwunden.  *edit* Ich habe den Download direkt aus dem Downloadfenster von Firefox heraus geöffnet und dann über Winrar gestartet. (Standardprogramm für zip-Dateien - nicht ganz die aktuelle Version) Der Beitrag wurde von markus17 bearbeitet: 21.01.2014, 23:09 |
|
|
|
|
24.01.2014, 00:07
Beitrag
#1707
|
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 10 Mitglied seit: 14.01.2014 Mitglieds-Nr.: 9.784 |
Auf selbigen Trojaner ist mein Kollege neulich reingefallen! Weiß aber gar nicht, was daraus geworden ist, da werde ich mal nachfragen...
-------------------- Ein kleiner Feind, dies lerne fein, will durch Geduld ermüdet sein
|
|
|
|
|
09.04.2014, 16:13
Beitrag
#1708
|
|
 Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 812 Mitglied seit: 21.03.2014 Mitglieds-Nr.: 9.961 Betriebssystem: Windows 10-64bit Virenscanner: Windows-Defender Firewall: Windows-Firewall |
Hallo hier einmal von mir eine Verdächtige Datei des Update Star wird bei mir sowohl von Avira als auch von AVG als Malware erkannt
 , und das egal ob von Chip, PC-Welt, Heise-Online oder der Herstellerseite dafür hier der Link dazu:http://client.updatestar.com/files/updates...R_installer.exe Und bei Virustotal wird es von 3 der 51 Scanner als Bedrohung erkannt. https://www.virustotal.com/de/file/8386eca2...7b0ac/analysis/ Hier die Meldung von Avira: 
2.PNG ( 21.87KB )
Anzahl der Downloads: 19Und von AVG:
1.PNG ( 24.96KB )
Anzahl der Downloads: 18 |
|
|
|
| Gast_sunnysky2015_* |
31.10.2014, 19:51
Beitrag
#1709
|
|
Gäste |
Hallo
 auf der Homepage eines der Schwimmbader wo ich hinfahre scheint was nicht zu stimmen xxxp://www.tournesol-idstein.de/ virustotal derzeit 1/60 Kaspersky blockiert da etwas, viellleicht ein skript oder so ? auch hier wird infektion gemeldet http://sitecheck.sucuri.net/results/www.to...sol-idstein.de/ |
|
|
|
|
01.11.2014, 11:43
Beitrag
#1710
|
|
 Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 719 Mitglied seit: 24.12.2009 Wohnort: Rheinland-Pfalz Mitglieds-Nr.: 7.887 Betriebssystem: Windows 11 Home 23H2 Virenscanner: Microsoft Defender Firewall: WinFW + F.B 7590 |
Kann ich bestätigen,GData sagt:
Virus: Trojan.Script.612970 (Engine A) Status: Der Zugriff wurde verweigert. KHL64 -------------------- Gehäuse: CoolerMaster 690 II Advanced | Prozessor: Intel i5-3570 3,40 GHz | Mainboard: Intel DH77EB | Bios: UEFI | Grafik: Intel HD Grafik 2500 | RAM: Kingston 16 GB 1600 MHz DDR3 | Festplatte: Intel SSD 520 SATA III 120 GB + SanDisk Plus SSD SATA III 240 GB | Logitech K280e Pro | TFT: BENQ GW2250HM | Provider: Eifel-DSL | DNS over TLS: Cloudflare
|
|
|
|
|
01.11.2014, 12:12
Beitrag
#1711
|
|
 Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.354 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
Bei mir gab auch der Avast Webschutz eine Warnmeldung raus: hxxp://www.tournesol-idstein.de/data/script/jquery.nivo.slider.js [L] JS:Includer-BGC [Trj] (0)
-------------------- |
|
|
|
|
01.11.2014, 12:58
Beitrag
#1712
|
|
 Ist unverzichtbar Gruppe: Mitglieder Beiträge: 5.344 Mitglied seit: 02.04.2005 Wohnort: Localhost Mitglieds-Nr.: 2.320 Betriebssystem: W10 [x64] Virenscanner: EAM Firewall: EAM |
Bei mir bleibt Biti stumm
-------------------- Dr. Web' s Updates List
Dr. Web' s Virusbibliothek Dr. Web´s History "Kenshi" sagt sayonara Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort] Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden." [Jewgenij Kaspersky] Ubuntu Beryl Matrix 3D Desktop |
|
|
|
|
01.11.2014, 13:25
Beitrag
#1713
|
|
 Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.056 Mitglied seit: 02.01.2005 Mitglieds-Nr.: 1.714 Betriebssystem: Windows 10 Pro x64 |
ZITAT(sunnysky2015 @ 31.10.2014, 19:51) Kaspersky blockiert da etwas, viellleicht ein skript oder so ? Kaspersky sagt bei mir nix. Kann aber an NoScript liegen! VG |
|
|
|
| Gast_sunnysky2015_* |
01.11.2014, 13:30
Beitrag
#1714
|
|
Gäste |
so wird es sein, nutze kein no script
Angehängte Datei(en)
|
|
|
|
|
01.11.2014, 20:18
Beitrag
#1715
|
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.191 Mitglied seit: 07.08.2007 Mitglieds-Nr.: 6.352 Virenscanner: G DATA |
Die Erkennung ist berechtigt. Man muss sich lediglich das Ende der Datei "jquery.nivo.slider.js" ansehen:
logtime.png ( 11.64KB )
Anzahl der Downloads: 20Der JavaScript Code für zu:
script.png ( 1.69KB )
Anzahl der Downloads: 18Der Beitrag wurde von scu bearbeitet: 01.11.2014, 20:18 |
|
|
|
|
01.11.2014, 21:29
Beitrag
#1716
|
|
 War schon oft hier Gruppe: Mitglieder Beiträge: 124 Mitglied seit: 12.12.2011 Mitglieds-Nr.: 9.294 Betriebssystem: Windows 10 Pro. (64 Bit) Virenscanner: Norton Security Firewall: Norton Security |
Norton hat sich auch gemeldet:
ZITAT Dateiname: 5db0931581a8cd84440c49ad1aca08e7aa63da22
Vollständiger Pfad: c:\users\*******\appdata\local\mozilla\firefox\profiles\nee1ozkc.default\cache2\entries\5db0931581a8cd84440c49ad1aca08e7aa63da22 Name der Bedrohung: Trojan.Malscript Das Risiko dieser Datei ist hoch. Datei: c:\users\*******\appdata\local\mozilla\firefox\profiles\nee1ozkc.default\cache2\entries\ 5db0931581a8cd84440c49ad1aca08e7aa63da22 entfernt |
|
|
|
|
01.11.2014, 21:52
Beitrag
#1717
|
|
 Ist unverzichtbar  Gruppe: Freunde Beiträge: 5.267 Mitglied seit: 30.11.2003 Wohnort: Dortmund Mitglieds-Nr.: 242 Betriebssystem: Windows 10 Prof 64Bit Virenscanner: GData/ MS Defender Firewall: Router/ Windows 10 |
ZITAT(Kenshiro @ 01.11.2014, 12:58) Bei mir bleibt Biti stumm Wenn GData aber was mit der Engine A meldet, dann dürfte Bitty nicht stumm bleiben...  Bis denne Olli -------------------- ...und sonst bin ich mit einem VW T3 oder einer V-Strom unterwegs...
|
|
|
|
|
02.11.2014, 08:11
Beitrag
#1718
|
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 5.344 Mitglied seit: 02.04.2005 Wohnort: Localhost Mitglieds-Nr.: 2.320 Betriebssystem: W10 [x64] Virenscanner: EAM Firewall: EAM |
War aber so olli
-------------------- Dr. Web' s Updates List
Dr. Web' s Virusbibliothek Dr. Web´s History "Kenshi" sagt sayonara Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort] Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden." [Jewgenij Kaspersky] Ubuntu Beryl Matrix 3D Desktop |
|
|
|
|
02.11.2014, 08:15
Beitrag
#1719
|
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 5.344 Mitglied seit: 02.04.2005 Wohnort: Localhost Mitglieds-Nr.: 2.320 Betriebssystem: W10 [x64] Virenscanner: EAM Firewall: EAM |
-------------------- Dr. Web' s Updates List
Dr. Web' s Virusbibliothek Dr. Web´s History "Kenshi" sagt sayonara Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort] Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden." [Jewgenij Kaspersky] Ubuntu Beryl Matrix 3D Desktop |
|
|
|
|
02.11.2014, 18:49
Beitrag
#1720
|
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.354 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
ZITAT Hallo auf der Homepage eines der Schwimmbader wo ich hinfahre scheint was nicht zu stimmen xxxp://www.tournesol-idstein.de/ Schutz durch AVG Free:    ZITAT auch hier wird infektion gemeldet hxxp://sitecheck.sucuri.net/results/www.to...sol-idstein.de/ Kann ich mit AVG Free bestätigen: 
Der Beitrag wurde von simracer bearbeitet: 02.11.2014, 18:53 -------------------- |
|
|
|
|
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 18.04.2024, 10:25 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment