Infizierte Webseiten Einstellungen

[Voyager]

Hmm, GData meldet sich nicht.

Siehste Marcus, du bist mit Gdata eindeutig aufn falschen Dampfer , diese Schadcode auf WF gab es ja nachweislich siehe WF Statement

[fenriz]

Das liegt wahrscheinlich hier dran:
Statement: http://www.winfuture-forum.de/index.php?showtopic=189684
Topic: http://www.winfuture-forum.de/index.php?showtopic=189678

Gruß

Das ist richtig. Ich habe das im Nachhinein, also am nächsten Tag dann auch verfolgt ..wurde ja überall ne Menge dazu gepostet.
Wobei ja nicht immer gleich wenn die Heuristik ein ScriptCode meldet von einer Ifektion auszugehen ist. Aber in diesem Falle war dies wohl korrekt.

[Gast_Advocatus-diaboli_*]

Wird der Thread hier noch gepflegt ?
Habe da eine interessante .scr Datei auf einem Server gefunden.
Ein mir bekanntes Forum wurde damit versorgt. :twisted:

[markusg]

kannst mir mal senden die datei falls möglich.
evtl. bei
www.file-upload.net
hochladen und mir den link senden. und der thread wird versorgt, so lange jemand reinschreibt :-)

[Tiranon]

Hallo,

hier habe ich eine nette Seite gefunden:

hxxp://johann-bunte.pl/lindex02.html

VORSICHT !!

[Catweazle]

Hallo,

hier habe ich eine nette Seite gefunden:

hxxp://johann-bunte.pl/lindex02.html

VORSICHT !!

Sinnfrei oder man fällt immer wieder hinten nunter...

http://www.virustotal.com/url-scan/report....b8a4-1307717504

Catweazle

[markusg]

naja normalerweise ist das ne saubere seite, hab mal den betreiber angeschrieben.

[Catweazle]

Also die MBAM trial version blockt diese Seite.

Catweazle

[Tiranon]

Also gestern wurde die Seite auch noch geblockt , auf einem Test-Rechner wurde dann auch ein Security Shield installiert und ab da poppt dann regelmäßig die Meldung auf das der PC infiziert sei und nebenher öffnet sich der IE mit diversen Pornoseiten...

Heute ist es nur eine "Viagra-Seite"

[citro]

Mit Opera wird man zu einer Online-Apotheke umgeleitet, über den IE zu einem Fake AV

jeder Download hat eine wechselnde Checksumme

Der Beitrag wurde von citro bearbeitet: 11.06.2011, 09:05

[Tiranon]

Mit Opera wird man zu einer Online-Apotheke umgeleitet, über den IE zu einem Fake AV

jeder Download hat eine wechselnde Checksumme

Stimmt Danke für den Tipp, ich werde auch mit dem IE umgeleitet und zwar auf folgende Seite:


Vorsicht !

hxxp://46.161.11.210/index.php?mBhv=WygoTkA%2BPCBJRW&c8=UE7DSJHJ6ML0FPI2dQL&Tc=YJJZ1&HMvg=N770MQ24WQE5&3tO=KF13&mfbU1=MAag&f6SH1=0gyJ2wlNDNTMBQtIihFKyIn&rJxt=gwML1d3Kwt6MykGMX44d2cGc3NkYWNreUNSQzk%3D&p9K=YAa31jCx9oDCYCSgg%2Ff0RMYH8vPwljIAMmN3pxcld%2Fc1QCa&NdPKO=Z5Z369CK80&Ib7L=9W6D42XSU91&lMZCN=Bzo1KlJL&956=S89K4BH3LPO2WKDFT6DDSXWZ#

[Kenshiro]

Magere Erkennungsrate

[Gast_uweli1967_*]

Mein derzeitiges AV blockt die Seite auch: jetzt könnte ja man fast wieder die Diskussion um HTTP Scanner "entfachen" ob man das braucht oder nicht

[SLE]

jetzt könnte ja man fast wieder die Diskussion um HTTP Scanner "entfachen" ob man das braucht oder nicht

Naja - dann musst du es mal durch den WebAV lassen und testen...
Generell ist das aber hier kein gutes Beispiel, hier bringt der WebAV nur eine Vorabwarnung.

Weiterleitung funktioniert mit dem IE. Ohne WebAV kommt ein JavaSkript welches das System mal schnell scannt:
 ss0.jpg ( 149.97KB ) Anzahl der Downloads: 38

Dann darf man irgendwas klicken und bekommt immer irgendeine pack.exe angeboten.
Man sollte eigentlich die Verarsche erkennen, weil es zu schlecht umgesetzt ist - da werden nichtmal die eigenen Laufwerke angezeigt...

Diese pack.exe heruntergeladen und ausgeführt installiert eine Version vom Roque Security Shield, was superschnell scannt und super viel findet:
 ss1.jpg ( 163.58KB ) Anzahl der Downloads: 22


Entfernung soll leider kosten:
 ss2.jpg ( 77.58KB ) Anzahl der Downloads: 16


Auch ohne WebAV passiert also erstmal nichts, allerdings werden die je Download variierenden pack.exe von den meisten DateiAVs nicht erkannt. Ignoriert man das Anschlagen der BBs und HIPSe und stellt sich User vor, die hier auf alles reinfallen und alles anklicken bingt der WebAV als Frühwarner einen Vorteil. Sonst nicht.

[Gast_uweli1967_*]

SebastianLE, einen solchen Fall hatte ich vor geraumer Zeit im Avast Forum in dem ich nicht mehr bin: Ich lud ein Fake AV bewusst runter und wollte schauen ob Avast Free reagiert wenn ich es ausführe. Zu der Zeit hatte ich noch Zemana AntiLogger mitinstalliert und der AntiLogger brachte mir eine Warnmeldung und somit wurde das ausführen des Fake AV's verhindert weil ich blockieren klickte. Danach deaktivierte ich AntiLogger und wiederholte das Prozedere, dieses Mal nur mit Avast Free das komplett installiert war und Avast(mit VS Modul)muckste sich in keinster Weise und das Fake legte los. Natürlich hab ich umgehend ein Systembackup eingespielt und vergessen war der Test. Aber beim Avast Forum schmeckte es dem Admin und einem Mod wohl nicht das AntiLogger das Fake erkannte und man damit das stoppen konnte und Avast Free dazu nicht in der Lage war, denn mein Beitrag dazu wurde geflissentlich von einem Mod in Unpassend dort verschoben.

Dann darf man irgendwas klicken und bekommt immer irgendeine pack.exe angeboten.
Man sollte eigentlich die Verarsche erkennen, weil es zu schlecht umgesetzt ist - da werden nichtmal die eigenen Laufwerke angezeigt...

Das dürfte bei Usern in Foren wie hier bekannt sein, aber es gibt sehr viele User die nicht in Foren wie diesem tätig sind und nicht um die Gefahren der Fake AV's Bescheid wissen und dann dabei "auf die Schnauze fallen", einfach aus Unwissenheit. Haben die User dann aber wenigstens ein Virenschutzprogramm mit HTTP Scanner, so besteht zumindest die Chance, dass die User nicht auf solche Seiten weitergeleitet werden.

Der Beitrag wurde von uweli1967 bearbeitet: 11.06.2011, 19:33

[citro]

Magere Erkennungsrate

Wenn jeder Download der pack.exe einen anderen MD5 hash hat, ist das für manche Scanner ein Problem

[Tiranon]

Naja - dann musst du es mal durch den WebAV lassen und testen...
Generell ist das aber hier kein gutes Beispiel, hier bringt der WebAV nur eine Vorabwarnung.

Weiterleitung funktioniert mit dem IE. Ohne WebAV kommt ein JavaSkript welches das System mal schnell scannt:
 ss0.jpg ( 149.97KB ) Anzahl der Downloads: 38

Dann darf man irgendwas klicken und bekommt immer irgendeine pack.exe angeboten.
Man sollte eigentlich die Verarsche erkennen, weil es zu schlecht umgesetzt ist - da werden nichtmal die eigenen Laufwerke angezeigt...

Diese pack.exe heruntergeladen und ausgeführt installiert eine Version vom Roque Security Shield, was superschnell scannt und super viel findet:
 ss1.jpg ( 163.58KB ) Anzahl der Downloads: 22


Entfernung soll leider kosten:
 ss2.jpg ( 77.58KB ) Anzahl der Downloads: 16


Auch ohne WebAV passiert also erstmal nichts, allerdings werden die je Download variierenden pack.exe von den meisten DateiAVs nicht erkannt. Ignoriert man das Anschlagen der BBs und HIPSe und stellt sich User vor, die hier auf alles reinfallen und alles anklicken bingt der WebAV als Frühwarner einen Vorteil. Sonst nicht.

Danke für die nette Beschreibung. McAfee erkennt übrigens nix und man kann "ohne Probleme" die pack.exe herunterladen und das "Security Shield" installieren. Auf meinem "Testrechner" (mit McAfee) öffnete sich dann auch regelmäßig der IE mit einer "netten" Porno-Seite, war das denn bei dir auch der Fall?

NIS 2011 hat Gefahr gemeldet und hat die pack.exe automatisch in Quarantäne geschoben bzw. entfernt ...

 NIS2011.JPG ( 73.15KB ) Anzahl der Downloads: 26


NIS verharmlost das finde ich auch etwas indem sie das Risiko "nur" mittel einstufen, schließlich ist es Scare- bzw Crime- ware

Was mich interessieren würde wäre wie G DATA reagiert ....
Danke

Der Beitrag wurde von Tiranon bearbeitet: 12.06.2011, 00:52

[SLE]

Danke für die nette Beschreibung. McAfee erkennt übrigens nix und man kann "ohne Probleme" die pack.exe herunterladen und das "Security Shield" installieren.

Strange - ich hatte mir 3 von den pack.exe heruntergeladen, um sie zu vergleichen.
...und bei VT war nur McAfee mit einer Erkennung dabei:
 pack1.jpg ( 192.32KB ) Anzahl der Downloads: 16


Mittlerweile ist es etwas besser - aber nur McAfee und KL mit eindeutigen Signaturen:
 pack2.jpg ( 291.9KB ) Anzahl der Downloads: 18

Du hast sicher zeitlich vor mir getestet, dies könnte das McAfee Ergebnis erklären. Ist womöglich dann die Cloud-Übermittlung und Einpflegung der Bedrohungen so schnell?
Ich hatte die VM nicht nochmals gebootet, vorher kamen aber keine Browserfenster außer der Kauferinnerung.

[Tiranon]

Freitagvormittag habe ich es mit "McAfee Enterprise" auf einem Windows XP -Rechner ohne Probleme installieren können... Fairerweise muss ich aber auch sagen das ich nicht wusste wann die letzten Signaturen geladen worden sind, wenn ich am Rechner sitze erwarte ich, egal bei welchem Programm, das die Signaturen stets aktuell sind.

Der Beitrag wurde von Tiranon bearbeitet: 12.06.2011, 01:05

[citro]

Ist womöglich dann die Cloud-Übermittlung und Einpflegung der Bedrohungen so schnell?

Das Einsenden mit dem Hinweis auf unterschiedliche Checksummen ist vielleicht entscheident, falls dort zugehört wird und eine generische Erkennung erstellt wird

3 Beispiele:

http://www.virustotal.com/file-scan/report...01d0-1307865558

http://www.virustotal.com/file-scan/report...18c3-1307866315

http://www.virustotal.com/file-scan/report...845e-1307865730