Infizierte Webseiten Einstellungen

[simracer]

Habe es gerade korrigiert carat, den Screenshot von Avast, die Aktion die Avast da ausführen soll wählte ich selbst.

[Xeon]

Avast ist mittlerweile richtig gut und das kostenlos.

[simracer]

.....und manchmal aber auch nervig Xeon. warum? ich bekam vorhin die Windows Updates zum runterladen und installieren und dann fing der Avast VS an und blendete ständig Fenster ein für temporäre MS Installer, das war schon etwas nervig und eine wahre Klickorgie.

[Gast_carat_*]

Danke, manchmal findet auch ein blindes Huhn ein Korn

[simracer]

Wie meinst du das Carat? geht deine Aussage etwas konkreter?

[SLE]

Avast ist mittlerweile richtig gut und das kostenlos.

Warum? Weil hier im Besipiel gemeldet wird, das die Echse sich entpackt und der eigentliche BetterInstaller.exe im TempOrdner erzeugt wird? Das ist nichts kritisches und unzählige Installer gehen so vor - also nervt Avast dann auch da rum.

[simracer]

Danke für die exe KasperskyFreaky sowohl Online Armor Free als auch Avast(wenn Online Armor deaktiviert wurde) würden hier "anschlagen" wenn die Datei ausgeführt wird:

Update: Die Reaktion von Comodo Defense+:

[SLE]

@Uwe: Du musst sowohl bei OA, als auch bei Comodo sämtliche Aktionen die auf den Malware-/Spywaresignaturen basieren erlauben, wenn du die Programme testen willst.

[Gast_carat_*]

Wie meinst du das Carat? geht deine Aussage etwas konkreter?

Weil der Avast Verhaltensblocker oft auch gutartige Programme abdreht, aber das hat SLE nun bereits erwähnt.

[simracer]

Bei mir steht er auf Nachfragen, also liegt letztendlich die Entscheidung bei mir bei so einem Fenster. Stimmt aber das der Avast Verhaltenschutz nicht so gut ist.

[SLE]

Der BetterInstaller ist übrigens keine klassische Malware oder Spyware, sondern gehört zu einem Affiliate-System. Dieses wird leider auch von einigen Freeware Autoren benutzt. Funktion ist es Installationen zu zählen und werbewirksam Partnerangebote zur Installation anzubieten: Bei mir war es z.B. die Babylon Toolbar, die ich aber abwählen konnte. Anschließend wurde nur das hässliche Wallpaper als jpg gespeichert.

QUELLTEXT

[config]
affiliate_id = wallpaperstocknet
software_id = malignelake
software_name = Maligne Lake

Das Ding selber macht also nichts böses - somit müssen die AVs hier nicht meckern. Unangenehm finde ich das anbieten von Toolbars aber immer. Gesehen habe ich es unter anderem schon bei TapinRadio oder dem pdfcreator.

[Hexo]

Ähm... Ich denke mal, dass die meisten bis jetzt nur die Datei heruntergeladen haben, OHNE das die Datei ausgeführt wurde. Ich würde nie auf meinem Cleanen System bei einer suspekten Exe auf ausführen klicken um zu schauen, ob der Verhaltensblocker oder was auch immer, anschlägt.
Ich hab die Datei bis jetzt "nur" so ausprobiert, ob die Signatur darauf reagiert. Bei EAM reagiert ja auch die Signatur.

[simracer]

Ob das was zur Sache tut? als bei mir OA deaktiviert war und der Avast VS sich meldete, lief im Hintergrund in einem anderen Fenster der Installer/Setup von Betterinstaller. Mit aktivem OA und auch mit Comodo Defense+ wurde das unterbunden.

[Xeon]

Ähm... Ich denke mal, dass die meisten bis jetzt nur die Datei heruntergeladen haben, OHNE das die Datei ausgeführt wurde. Ich würde nie auf meinem Cleanen System bei einer suspekten Exe auf ausführen klicken um zu schauen, ob der Verhaltensblocker oder was auch immer, anschlägt.

Für solche Fälle nimmt man dann auch ein Testsystem oder ein VM.

[Xeon]

Warum? Weil hier im Besipiel gemeldet wird, das die Echse sich entpackt und der eigentliche BetterInstaller.exe im TempOrdner erzeugt wird?

Ne, das war allgemein bezogen.

[SLE]

Ähm... Ich denke mal, dass die meisten bis jetzt nur die Datei heruntergeladen haben, OHNE das die Datei ausgeführt wurde. ...

Ist auch alles legitim, nur dann sollte man nicht immer über Erkennungsraten etc. reden, wenn es nichts zu erkennen gibt. Von daher verwundert es doch gerade nicht, dass sich hier bei VT nichts tut.

Solche Installer kann man leicht als zip entpacken: Dann sieht man, dass MaligneLake_downloader_by_Wallpaperstocknet.exe nichts weiter ist als ein Archiv, dass den altbekannten BetterInstaller startet, eben mit der oben gezeigten Config (die als Parameter den Ursprung weitergibt).

Alternativ kann man auch die zusätzlichen Informationen von Virustotal mal anschauen. So ist der BetterInstaller eben schon seit über 3 Monaten bekannt und als harmlos eingestuft.

Man kann es als Riskware einstufen - muss es aber nicht. Strenggenommen müsste man dann eine unheimliche Anzahl v.a. an beliebten Freewareprogrammen als Riskware bezeichnen. Ich mag auch keine Toolbars - aber wer sich eben so finanziert und die Dinger abwählen lässt, who cares? Doof sind doch nur die Leute die in Setups immer auf Ok und Weiter klicken ohne zu lesen. Denen gönne ich auch ein paar Toolbars.

Der Beitrag wurde von SLE bearbeitet: 11.04.2012, 21:22

[simracer]

Toolbars sind für mich lästig und zum Glück kann man die meisten die bei Freeware's beigepackt sind abwählen.

Der Beitrag wurde von simracer bearbeitet: 11.04.2012, 21:29

[olli]

So, ich habe die Datei gerade mal ausgeführt. Ich konnte die Standartinstallation oder eine benutzerdifinierte Installation auswählen. Bei der benutzdefinierten kann man sämtliche Babyloneinträge abwählen. Ich habe natürlich todesmitig die Standardinstallation durchgeführt. BitDefender hat nicht sich irgendwie gemeldet. Anschließend ist in allen Browsern die Startseite auf Babylon-Search geändert. Im FX soll eine Toolbar installiert werden - auch diese Installation kann man stoppen. Im IE kann man die Toolbar über die Systemsteuerung deinstallieren.
Also es passiert nix dramtisches. Die Sache ist lästig, aber es handelt sich nicht wirklich um Malware.

Bis denne
Olli

[Lurchi]

Virenalarm auf Wetter.com

"Kriminelle haben eine Schwachstelle in dem von Wetter.com eingesetzten Anzeigenserver OpenX missbraucht, um eigenen JavaScript-Code in die Seite einzuschleusen. Das eingefügte JavaScript hat weiteren Code von einer Domain nachgeladen, die für die Verbreitung von Schadcode bekannt ist. Chrome und Mozilla haben durch die Anbindung an die Safe-Browsing-API beim Besuch von wetter.com einen Warnhinweis angezeigt."

http://www.heise.de/newsticker/meldung/Vir...om-1575304.html

[Lurchi]

Verwirrung kam auf, als es bereits am Montag von Wetter.com hieß, dass das Problem behoben worden sei. Auf der Webseite gab es nur kurz einen Hinweis auf einen Fehler, konkrete Angaben zum Angriff Fehlanzeige. Doch auch am gestrigen Dienstag verteilte die Webseite fleißig Malware an die Besucher, unter anderen Scareware und den BKA-Trojaner."

http://www.chip.de/news/Trojaner-auf-Wette...h_55883268.html