Infizierte Webseiten Einstellungen

[Denny]

Mag vielleicht mal jemand diese URL hier überprüfen. Eine Bekannte von mir hat mir diese per E-Mail geschickt (wobei ich nicht glaube das sie das selber gewesen ist o.O )

hxxp://4cluj.ro/4cluj/upload/1/cuxcssl8.php

[scu]

Beim Zugriff auf die Webseite wirst du erst einmal 4 oder 5 mal weitergeleitet.
Dann landet man auf einer Webseite mit dem Thema "Work At Home Mum Makes $10,397/Month Part-Time."
Dort soll man sich dann in ein Formular eintragen. Beim Klick auf Submit wird aber überhaupt nichts abgeschickt (es kommt zwar eine Meldung, aber die ist ein Fake).
Durch den Klick bestätigt man einen nicht sichtbaren Facebook "Like-Button" und verbreitet den Kram so über Facebook weiter.

Wirkliche Schadroutinen konnte ich jetzt auf die schnelle nicht entdecken, aber das kann daran liegen, dass manche Malware-Autoren nur Menschen Computer aus bestimmten Ländern infizieren wollen. Das passt auch zu der Redirection Chain.

Daher also mein Rat: Besser die Webseite meiden!

Der Beitrag wurde von scu bearbeitet: 08.06.2012, 23:26

[Denny]

Danke dir

[markus17]

Das folgende Sample fand man auf der Pinnwand von einem Facebook-Freund:
https://www.virustotal.com/url/8585ccb31a0a...sis/1339962492/
https://www.virustotal.com/file/a682f1e3a6a...sis/1339962061/

Die Avast-Engine in G Data greift nicht, da sie seit dem 12.06.2012 kein Update mehr bekommen hat. G Data löscht die Malware jedoch über die Verhaltensanalyse.

Der Beitrag wurde von markus17 bearbeitet: 17.06.2012, 20:49

[simracer]

Avast selbst erkennt und blockiert die Bedrohung bzw. verschiebt diese in Quarantäne(Virus Container):

Der Beitrag wurde von simracer bearbeitet: 17.06.2012, 21:59

[ciacomo]

Mit FF und Norton wird die Seite gar nicht angezeigt, es wird gleich eine .exe angeboten.
Nach Download wird diese von Norton Datei Insight als Bedrohung erkannt und gelöscht.


VG

Der Beitrag wurde von ciacomo bearbeitet: 17.06.2012, 23:54

[olli]

Also, lass mal zusammenfassen:

KIS erkennt den Schädling per Signatur, ebenso Avast und Eset. BitDefender bleibt stumm. Norton lässt den Download zu (hier ist es dann egal, ob die Plugins funktionieren; sie hätten eh nicht gegriffen). Bei Gdata muss du die Malware ausführen, wird aber dann geblockt. Wenn die Engine B mal wieder aktualsiert wird, sieht es hier wieder ganz anders aus.

Punktsieg bei diesem Schädling für KIS, Avast und Eset. Es folgt Norton und dann Gdata. Was immer diese kleine Aussage auch für eine Aussagekraft hat….

bis denne
Olli

Der Beitrag wurde von olli bearbeitet: 18.06.2012, 07:56

[SLE]

Punktsieg bei diesem Schädling für KIS, Avast und Eset. Es folgt Norton und dann Gdata. Was immer diese kleine Aussage auch für eine Aussagekraft hat….

Wieso Punktsieg? Alle die verhindert haben, dass das System infiziert wird haben "bestanden". Ob man dafür Webseiten sperren muss, oder die Malware beim ausführen/speichern erkannt wird ist irrelevant.

[ciacomo]

Wieso Punktsieg? Alle die verhindert haben, dass das System infiziert wird haben "bestanden". Ob man dafür Webseiten sperren muss, oder die Malware beim ausführen/speichern erkannt wird ist irrelevant.

Sehe ich auch so.
Egal wie erkannt wir.


VG

[olli]

Ja,
war doch nicht ernstgemeint
;-)

Bis dann
Olli

[Stefan]

Also EAM blockt mit aktueller Signatur folgendes:

 eam120618.jpg ( 79.66KB ) Anzahl der Downloads: 46


Der Beitrag wurde von Stefan bearbeitet: 18.06.2012, 12:51

[simracer]

AVG(Free)reagiert so wenn man(am PC der Frau ausprobiert)die Webseite aufruft und man auf(zum Download eingeblendete)Datei speichern geht: anschliessend wählte ich das die Datei in Quarantäne verschoben werden soll:

Der Beitrag wurde von simracer bearbeitet: 18.06.2012, 13:34

[Hexmaster]

AVG IS 2013 Beta meldet sich schon vor dem Download. Also, ich öffne die Seite, der Downloaddialog öffnet sich und gleichzeitig das AVG Fenster:

 virus20120618.jpg ( 50.85KB ) Anzahl der Downloads: 25

[olli]

Ich kann die Seite nicht mehr aufrufen. Bei mir erscheint immer "under construction"

Bis denne
Olli

[simracer]

Aktuell gibt es bei mir diese Reaktion:

[olli]

Moin zusammen,

kennt einer die Seite

hxxp://www.spassblog.com ?

Norton zeigt mir hier eine Bedrohung an, bzw will mich har nicht auf die Seite lassen.

Es wurde auf der Seite drei Bedrohungen gefunden. Dabei soll es sich um Trojan.Fake.AV handel.

Ist Norton da etwas übereifrig...?

Bis denne
Olli

[attachment=7628:spassblog.PNG]

[flexibel44]

Also mein NAV meldet sich nicht.

[ciacomo]

F-Secure meldet nichts.


VG

[scu]

Ein schädliches Script konnte ich auf Anhieb nicht sehen.
Allerdings sind auf der Webseite jede Menge Links zu anderen doch sehr fragwürdigen Webseiten (viagra, fetisch, etc.).
Diese Links sind per CSS auf nicht sichtbar gesetzt. Ich kann mir gut vorstellen, dass mindestens einer dieser Links zu einem FakeAV führt und Norton daher die Webseite blockt.

[Gast_brommer1_*]

Also mein NAV meldet sich nicht.

Norton DNS installieren: https://dns.norton.com/dnsweb/huConfigurePc.do

Malicious Web Site Blocked

You attempted to access: www.spassblog.com

This is a known malicious web site. It is recommended that you do NOT visit this site.
The detailed report explains the security risks on this site.

For your protection, this web site has been blocked. Visit Symantec to learn more about phishing and internet security.

Exit This Site

Continue to SiteBETA