Infizierte Webseiten Einstellungen

[Voyager]

Markus

Das sieht aber eher aus wie geklaute Autos in Polen.

[Julian]

btw: Lustig finde ich, dass ein Foto von einem Auto mit Kennzeichen drauf ist. (fail? xD)

Eklig find ich das mit dem Ausschlag...
Die Seite ist mit Vorsicht zu genießen.

[markus17]

Alles habe ich mir jetzt auch nicht angesehen. xD Mein Augenwerk lag mehr auf den ganzen exe/zip Dateien mit verdächtigen Namen. Ich würde den Inhalt der Seite aber auch mehr mit Vorsicht geniesen.

[Solution-Design]

Das Symantecsche DNS-Ding ist ganz nett

http://safeweb.norton.com/report/show?url=www.skatafka.com

Schützt mich schön vor mir

[Solution-Design]

[attachment=6397:WEB_Site.png]
Obwohl, alles wird auch nicht...

[Gdatafreak]

Einer der gefährlicheren Malware trickst sogar die HIPS von Kaspersky aus... also ACHTUNG. Nur 6 Anti-Virenhersteller erkennen die Malware bei Virustotal. Wird nicht erkannt von: G-Date, Avira, Avast, Kaspersky usw...

Hier der Link ACHTUNG: hXXX://cartoontime.org/babe.exe

Der Beitrag wurde von Gdatafreak bearbeitet: 19.07.2010, 15:34

[citro]

.Wird nicht erkannt von: G-Date, Avira, Avast, Kaspersky usw...

Haste die Datei schon rundum eingesendet ?

[Gdatafreak]

Habe ich leider keine Zeit zu... vielleicht kann das ja jemand übernehmen wäre nett...

[Voyager]

Irgendwie ist das was aus der babe.exe rauskommt nicht 100pro lauffähig.

Da wird eine setupv.exe gestartet und trotz das die hier als nicht vertrauenswürdig eingestuft ist reagiert Sonar nicht darauf.
http://www.virustotal.com/de/analisis/c3fc...68b4-1279552170

Dann wird noch eine snohitatu.exe via command-Fenster geöffnet , was die macht weiss ich nee .
http://www.virustotal.com/de/analisis/0908...6fb4-1279552389

möglicherweise ist die Funktion des Objektes bzw. der Objekte schon tot.

cartoontime.org , Was ist das denn überhaupt für eine URL ? da wird man zu einem Plugin auf eine andere URL umgeleitet das schonmal sehr verdächtig aussieht.
http://www.virustotal.com/de/analisis/4e66...ff40-1279552897

Der Beitrag wurde von Voyager bearbeitet: 19.07.2010, 16:25

[Rios]

Hier waren es schon 7 Erkennungen?
http://www.virustotal.com/analisis/374564e...bf31-1279548351
Norton Safe Web: http://safeweb.norton.com/report/show?url=...mp;x=12&y=4

[Gdatafreak]

Bei KIS 2011 kommt babe.exe sogar in den vertrauswürdigen Bereich. Der hammer ist das diese exe keine digitale Signatur hat aber trotzdem bei KIS durchkommt. Habe meine Einstellungen so eingestellt das wenn ein Programm wie zb. babe.exe eigentlich gar nicht in den vertrauswürdigen Bereich kommen darf. Weil ich Programmen ohne digitale Signatur keine rechte gebe mit KIS. Zudem kommt das wohl die Kaspersky Security Network (Cloud Security) dieses Programm als Vertrauswürdig einstuft.

Der Beitrag wurde von Gdatafreak bearbeitet: 19.07.2010, 16:35

[SLE]

Bei KIS 2011 kommt babe.exe sogar in den vertrauswürdigen Bereich. Der hammer ist das diese exe keine digitale Signatur hat aber trotzdem bei KIS durchkommt. ...

Mache bitte mal einen Doppelklick auf die Datei im KIS Hips und poste einen Screenshot der Eigenschaften. (Komme leider nicht mehr an die Datei:, sonst würde ich es machen)

[fenriz]

Sagt mal kann mir jemand sagen was hier los ist. Ist die Site von einem Bekannten der jetz die Website mittels wordpress ausbauen wollte. jetz hat er sich wordpress auf den server geladen um es als cms zu nutzen und nun bringt firefox ständig diese meldungen.
h**p://holzundgruen.de/
ist der server etwa verseucht oder ist es ein reiner codefehler??
Mal dan auf shop gehen. h**p://holzundgruen.de/holzladen/
Vielen Dank.


Der Beitrag wurde von fenriz bearbeitet: 03.08.2010, 16:55

[scu]

Sagt mal kann mir jemand sagen was hier los ist. Ist die Site von einem Bekannten der jetz die Website mittels wordpress ausbauen wollte. jetz hat er sich wordpress auf den server geladen um es als cms zu nutzen und nun bringt firefox ständig diese meldungen.
h**p://holzundgruen.de/
ist der server etwa verseucht oder ist es ein reiner codefehler??
Mal dan auf shop gehen. h**p://holzundgruen.de/holzladen/
Vielen Dank.

Die Webseite ist infiziert!

Ganz am Ende steht nach dem schließenden HTML Tag noch JavaScript Code:

QUELLTEXT

</html><script>function lET(){};this.jE="";lET.prototype = {x : function() {yB="yB";this.j="";this.tQD="tQD";var hR=new Array();this.uF='';this.iB='';this.oN="";var d=document;this.p="p";var hP=6214;eF=63943;this.nX=31345;jP="jP";tG=62533;var eP='';var n=window;var gE=false;
[SCHNIPP]
</script>

[fenriz]

Okay danke für deine Mühe. Wie kann das passiert sein ?? Muss der Kumpel also den server "sauber machen" ??
Bräuchte mal ein Ansatz damit ich weiß was ich empfehlen kann. ->RescueDisk ?? Ich glaub der hat den server bei sich also keine hoster im herkömmlichen sinne.


Der Beitrag wurde von fenriz bearbeitet: 03.08.2010, 17:28

[Robo88]

Hallo,

Habe die Seite bei Wepawet Analysieren lassen:

http://wepawet.iseclab.org/view.php?hash=0...467&type=js

Schaut mal:

h""p://macromediasetup.com/zombie/


Gruss Heiko

Der Beitrag wurde von Robo88 bearbeitet: 03.08.2010, 17:42

[scu]

Die Webseite ist infiziert!

Ganz am Ende steht nach dem schließenden HTML Tag noch JavaScript Code:

QUELLTEXT

</html><script>function lET(){};this.jE="";lET.prototype = {x : function() {yB="yB";this.j="";this.tQD="tQD";var hR=new Array();this.uF='';this.iB='';this.oN="";var d=document;this.p="p";var hP=6214;eF=63943;this.nX=31345;jP="jP";tG=62533;var eP='';var n=window;var gE=false;
[SCHNIPP]
</script>

Das Script enthält im übrigen die folgende URL:
hxxp://macromediasetup.com/zombie/

[Robo88]

Von dort aus wird Rouge Software geladen.

Hier weitere Informationen:

http://support.clean-mx.de/clean-mx/viruse...rt=first%20desc


Bitte auch auf die Warnung in der Wepawet Analyse beachten.


Gruss Heiko

Der Beitrag wurde von Robo88 bearbeitet: 03.08.2010, 17:49

[fenriz]

Vieln Dank Jungs. Prima arbeiten mit euch.

[markus17]

Als das JS würden laut V-Total nur Antivir und AVG blocken: http://www.virustotal.com/de/analisis/fd6f...ee55-1280854770