Infizierte Webseiten Einstellungen

[Gast_florian5248_*]

KIS2012 hat sich auch nicht gemeldet.

[olli]

Allerdings sind auf der Webseite jede Menge Links zu anderen doch sehr fragwürdigen Webseiten (viagra, fetisch, etc.).
Diese Links sind per CSS auf nicht sichtbar gesetzt. Ich kann mir gut vorstellen, dass mindestens einer dieser Links zu einem FakeAV führt und Norton daher die Webseite blockt.

Genau das wird es sein.
Norton zeigt mir drei Links an, die zur einen Fake.AV führen sollen.

hxxp://www.spassblog.com/category/kinofilme

hxxp://www.spassblog.com/2010/03/16/wolfsheim-kein-zurueck/

hxxp://www.spassblog.com/2010/03/31/culcha-candela-eiskalt/


Laut liegt folgende Bedrogung vor: http Fake AV Redirect Request

Wegen drei Links scheint Norton die komplette Seite zu sperren Das nenne ich mal konsequent. Kann mir jemand sagen, wie sich KIS und Co bei dem Aufruf der Links verhalten?

Bis denne
Olli

[ciacomo]

Hi @olli

F-Secure zeigt bei keinen der von dir genannten Links etwas verdächtiges an.

VG

[SLE]

Wegen drei Links scheint Norton die komplette Seite zu sperren Das nenne ich mal konsequent. Kann mir jemand sagen, wie sich KIS und Co bei dem Aufruf der Links verhalten?

Hab kein AV laufen, aber beim öffnen und ansehen der Links lädt zumindest aktuell absolut nichts nach, keine FakeAVs nichts. Auch bei VTT wird die Seite von allen als clean eingestuft. Von daher eigentlich egal was andere AVs melden, solange man nichts findet was meldungswürdig ist.

Die versteckten Werbelinks im Quellcode die ich getestet habe führen auch zu nichts schädlichem.

[Schattenfang]

panda und gdata meckern nicht rum, auch ich kann mich sebastian anschließen: sehe dort nicht schädliches.

[Gast_florian5248_*]

Genau das wird es sein.
Norton zeigt mir drei Links an, die zur einen Fake.AV führen sollen.

hxxp://www.spassblog.com/category/kinofilme

hxxp://www.spassblog.com/2010/03/16/wolfsheim-kein-zurueck/

hxxp://www.spassblog.com/2010/03/31/culcha-candela-eiskalt/

Bei keiner der 3_Webseiten schlägt KIS2012 an.

Servus

[ciacomo]

Die Seite wird von Norton nicht mehr beanstandet.

VG

[olli]

Norton N360 meldet mir die Seite immer noch als Sicherheitsrisiko...?

Bis denne
Olli

[ciacomo]

Kommando zurück. Die Seite wird bei mir auch noch geblockt.
Hatte IPS aus.

VG

[olli]

Hier ist schon die nächste Seite:
hxxp://jkdefrag.8qm.de/

Das ist die Seite des bekannten Freeware Defragmentierungstool JKDefrag.

Hier wird ein ein gefährliches Script gemeldet.

GData meldet sich mit beiden Engines (BitDefender und Avast). Es ist also davon auszugehen, dass die beiden das Script erkennen.

[attachment=7633:iframer.PNG]
Norton bleibt stumm.

Bis denne
Olli

[markus17]

Also ich hab das mal getestet und auf den ersten Blick tut sich nichts, wenn man die Seite öffnet. (außer dass sie G Data geblockt hätte xD) Bemängelt wird das dritte Script in dem auf folgende URL verwiesen wird: hxxp://www.couchtarts.com/media.php ... Firefox meldet die Seite als "Phishingwebsite" (über die Telekom) und über die Google DNS Server, die ich normalerweise verwende, werde ich direkt auf google.com weitergeleitet.

Es könnte sein, dass das Script schon länger auf der Seite ist und mittlerweile nicht mehr funktioniert bzw. ins leere führt.

Der Beitrag wurde von markus17 bearbeitet: 26.06.2012, 22:01

[scu]

Sieht eher NICHT nach einem Fehlalarm aus.

Laut einfacher Google-Suche nach hxxp://www.couchtarts.com/media.php haben ca. 28.000 Seiten diese Seite als IFrame eingebunden.
Bei allen wird die Seite in einen nicht sichtbaren Bereich verschoben. Es scheint zudem bei allen Webseiten die Anzahl der Pixel (um die verschoben wird) unterschiedlich zu sein.

Bei einigen Webseiten warnt Google "Diese Website kann Ihren Computer beschädigen."

[Hexo]

Also wenn ich die Seite aufrufe, kommt folgendes:


http://www.f-secure.com/v-descs/trojan_js_redirector.shtml

Den Quelltext konnte ich mir leider nicht mehr von der Seite anschauen.
Irgendwie zeigt Opera da nur eine weise Seite und mit anderen Browsern möchte ich die Seite nicht aufrufen.

[ciacomo]

@Hexo
Mit den Firefox wird die Seite mit F-Secure geladen.Keine Warnung.
Mit Opera oder IE wird die Seite auch geblockt.
Kannst du das mal mit Firefox testen?

VG

Der Beitrag wurde von ciacomo bearbeitet: 27.06.2012, 11:30

[ciacomo]

Kaspersky meldet sich nicht mehr. War wohl doch ein FP!


VG

[Gast_what?_*]

Joa... der Sandboxie-Download aus direkter Quelle wird halt auch noch geblockt (trotz FP-Einsendung). Great job, F-Secure.
...vermutlich ist's mal wieder der richtige Zeitpunkt die Finnen eine zeitlang vom Rechner zu verbannen...

[olli]

Ich habe die Seite gerade noch einmal mit BitDefender (sicherer Browser) aufgerufen. Da gab es keine Meldung mehr.

Bis denne
Olli

[danielsun174]

heftig, wie viele es doch an der Zahl sind.

[lotion]

Hier ist schon die nächste Seite:
hxxp://jkdefrag.8qm.de/

Das ist die Seite des bekannten Freeware Defragmentierungstool JKDefrag.

Hier wird ein ein gefährliches Script gemeldet.

GData meldet sich mit beiden Engines (BitDefender und Avast). Es ist also davon auszugehen, dass die beiden das Script erkennen.

[attachment=7633:iframer.PNG]
Norton bleibt stumm.

Bis denne
Olli

G-Data meldet bei mir nix.

Der Beitrag wurde von lotion bearbeitet: 08.07.2012, 23:39

[scu]

Der genannte IFrame ist auch nicht mehr auf der Webseite.
Die Seite scheint also wieder sauber zu sein.