Infizierte Webseiten Einstellungen

[Solution-Design]

Große Antimalware-Laboratorien entscheiden nach Verbreitung. Das ist auch gut so. Was und wem nutzt das Einpflegen einer Erkennung, wenn die auerkorene Malware nur in einem Land auftritt? Niemandem. Höchstens der Erkennungsrate auf VT, was dann einer Art Werbung gleichbedeutend käme.

[SLE]

Große Antimalware-Laboratorien entscheiden nach Verbreitung. ...

Einige bearbeiten solche Einsendungen schon etwas bevorzugt, damit die Nörgler still sind und die Außenwirkung passt
Aus dem selben Grund pflegen einige auch nahezu alles von den öffentlichen Listen ala MDL ein, ob Malware oder nicht. Business - diese ganze privaten YouTube-Tester haben eben leider doch einen Kundeneinfluss.

[M.Richter]

Manche Virenschutzhersteller bearbeiten die Files bei Virustotal sehr zögerlich bzw. die Files haben keine Priorität.
Man sollte immer die Files direkt dem Virenschutzhersteller zur Verfügung stellen - ohne Umwege. Eine Liste mit allen gängigen Adressen gibt es hier: http://www.rokop-security.de/index.php?showtopic=17635
Dort stehen auch Textfiles zur Verfügung, in denen die Emailadressen der AV's einkopiert sind. Man kann die Adressen in die Adresszeile des E-Mail-Providers oder des E-Mail-Programms kopieren und so mit nur einer einzigen Mail alle wichtigen AV's erreichen. Aufwand gerade einmal 30 Sekunden.

:-) ich hoffe das soll keine Belehrung sein, Ich nehme mir das jetzt als gute Erklärung von dir an, vorallen für Leute die gerne diesen Weg gehen wollen und die Zeit dazu haben.

Wichtiger finde ich dieses Thema:
"Manche Virenschutzhersteller bearbeiten die Files bei Virustotal sehr zögerlich bzw. die Files haben keine Priorität."

->Daran sollte von Seiten der Hersteller eher gearbeitet und verbessert werden! Auch wenn schon klar ist dass bei ca. 60000 files pro Tag da kein Hersteller hinterher kommt...

Der Beitrag wurde von M.Richter bearbeitet: 17.07.2012, 21:11

[fenriz]

ala MDL

Was ist denn damit gemeint??

Business - diese ganze privaten YouTube-Tester haben eben leider doch einen Kundeneinfluss.

Da ich kein YouTube Tester bin (Gott sei Dank) fühle mich da jetzt NICHT angesprochen.

Der Beitrag wurde von fenriz bearbeitet: 17.07.2012, 21:58

[scu]

Was ist denn damit gemeint??

MDL = MalwareDomainList

Soweit ich weiß, war es hier nicht erwünscht die Seite zu verlinken, aber mit Google wirst du Sie schon finden
Auf der Webseite findet man Links zu infizierten Webseiten. Also bitte nur öffnen, wenn du dich damit auskennst oder dir bewusst bist, dass der Besuch einer solchen dort verlinkten Seite dein System infizieren kann.

[Rios]

Hi Servus,
Echt eine unangenehme Droge. Die alkomat.exe dazu, habe ich mir hier mal gespart. ( Backdoor Trojan) vor kurzem beanstandete nur, Trend Web Reputation diese Seite. AV Erkennung war allerdings beim Download der exe vorhanden.
 Snap_2012.07.18_17h11m19s_001.png ( 114.28KB ) Anzahl der Downloads: 47

[Gast_blueX_*]

Hi Servus,
Echt eine unangenehme Droge. Die alkomat.exe dazu, habe ich mir hier mal gespart. ( Backdoor Trojan) vor kurzem beanstandete nur, Trend Web Reputation diese Seite. AV Erkennung war allerdings beim Download der exe vorhanden.
 Snap_2012.07.18_17h11m19s_001.png ( 114.28KB ) Anzahl der Downloads: 47

Ich denke, es handelt sich hierbei um einen Fehlalarm!

[Rios]

Mal nachgesehen.
VTT: https://www.virustotal.com/file/cd6cc5ea6e7...sis/1342628375/

[Gast_blueX_*]

Trotzdem Fehlalarm! Das sind alles False Positives!

[fenriz]

MDL = MalwareDomainList

Soweit ich weiß, war es hier nicht erwünscht die Seite zu verlinken, aber mit Google wirst du Sie schon finden
Auf der Webseite findet man Links zu infizierten Webseiten. Also bitte nur öffnen, wenn du dich damit auskennst oder dir bewusst bist, dass der Besuch einer solchen dort verlinkten Seite dein System infizieren kann.

Was ist denn Google??

[Gast_blueX_*]

Mal nachgesehen.
VTT: https://www.virustotal.com/file/cd6cc5ea6e7...sis/1342628375/

Und so sieht es zwischenzeitlich aus: https://www.virustotal.com/file/cd6cc5ea6e7...sis/1343154648/
Hier haben einige Virenschutzhersteller auf ihre falschen Erkennungen reagiert.

[ciacomo]

Hi , wurde hxxt://www.drwindows.de gehackt?

Seit heute nicht mehr erreichbar und FF Warnung.


VG

Angehängte Datei(en)

 Webseite.JPG ( 75.78KB ) Anzahl der Downloads: 7

 

[markus17]

Informationen und Stellungnahme zum Angriff auf DrWindows
von
Martin
Veröffentlicht: 06.09.2012 19:00
19 Kommentare Kommentare
In den frühen Morgenstunden des heutigen Tages wurde der Server, auf dem die Webseiten von DrWindows laufen, von Hackern heimgesucht. Dabei gelang es den Angreifern, Schadcode in die Webseite einzuschleusen. Über die Folgen und die getroffenen Maßnahmen möchte ich hiermit informieren.


Welche Gefahr bestand?
Wo es nichts schön zu reden gibt, soll man das gar nicht erst versuchen, und außerdem ist mir Eure Sicherheit wichtiger als mein Ruf.
Der eingeschleuste Code hat über eine andere, ebenfalls verseuchte Webseite verschiedene Trojaner und Scareware-Programme nachgeladen und versucht, die Computer der Besucher per Drive-by-Download zu infizieren. Und leider ist mir auch mindestens ein Fall bekannt, in dem das erfolgreich war - dabei handelte es sich um das Scareware-Programm "Live Security Platinum".
Jeder, der in der Zeit zwischen ca. 2 Uhr heute morgen und der Abschaltung gegen 11:30 Uhr die Seiten von DrWindows besucht hat, sollte dringend eine gründliche Überprüfung seines Systems durchführen!



Wurden persönliche Daten aus der Community gestohlen?
Da die Hacker ins Dateisystem eingedrungen sind, hätten sie auch grundsätzlich Zugriff auf die Datenbank gehabt. Ich gehe allerdings davon aus, dass daran gar kein Interesse bestand - es ging lediglich darum, eine gut besuchte Seite in eine Virenschleuder zu verwandeln. Selbstverständlich sind die Passwörter bei uns verschlüsselt abgespeichert und zusätzlich mit einem zufälligen Salt-Wert geschützt, sie sind also nicht ohne Weiteres zu entschlüsseln.
Weil es unverantwortlich wäre, ein noch so geringes Risiko zu ignorieren, empfehlen wir dennoch, das eigene Passwort umgehend zu ändern.



Welche Maßnahmen wurden getroffen?
Ich habe mich gar nicht erst bemüht, die infizierten Dateien zu finden und zu bereinigen, daher wurde die Seite kurzerhand auf den Stand von letzter Nacht zurück gesetzt. Beiträge sind davon nicht betroffen - Anhänge, die seit letzter Nacht hoch geladen wurden, sind allerdings verloren gegangen.

Wichtiger als das Aufräumen ist allerdings die Analyse, um eine Wiederholung dieser Katastrophe zu vermeiden. Glücklicherweise ließ es sich sehr genau ermitteln, wie die verseuchten Dateien auf den Server gespielt wurden. Ich bitte um Verständnis, dass ich auf diesen Punkt nicht im Detail eingehen kann, aber es wurden diverse Maßnahmen getroffen, um eine Wiederholung zu verhindern. Nur so viel: Der Angriff erfolgte über einen Zugang, der mit einem 20stelligen Kennwort gesichert war, welches allen Regeln der Passwort-Kunst entsprach.
Die letzte und 100%ige Sicherheit - das wissen wir alle - kann es nicht geben.

Dieser Vorfall tut mir unendlich leid und ist mir über alle Maßen peinlich. Wer mich kritisieren möchte - nur zu, ich werde es in Demut ertragen. Ihr dürft aber ebenso sicher sein, dass das alles niemanden mehr ärgert als mich selbst.


P.S.: Alles, was hier geschrieben steht, gilt analog auch für das Supernature-Forum, welches derzeit noch außer Betrieb ist. Ich versuche, dass noch im Laufe des heutigen Abends wieder in Gang zu bringen, kann aber im Moment nichts versprechen.


Noch ein Nachtrag: Es kann weiterhin passieren, dass beim Aufruf der Seite im Browser eine Sicherheitswarnung ausgegeben wird - ich habe die erneute Überprüfung bei Google bereits beantragt - erst wenn diese abgeschlossen ist, verschwinden auch die Hinweise. Das kann leider noch einige Tage dauern.

Quelle: drwindows (in der VM aufgerufen ^^)

[ciacomo]

FP ???
hxxp://www.topazlabs.com/

Gdata IS 2013 Version 23.1.0.0
Virenprüfung von Web-Inhalten

Adresse: wxw.topazlabs.com
Virus: JS:Trojan.JS.Iframe.AM (Engine A)
Status: Der Zugriff wurde verweigert.

VG

[olli]

Hi,
mit Signaturen von gestern Abend gibt es keine Reaktion. Wenn ich die Signaturen aktualisieren, kommt sofort die Meldung. Aber die Seite wird trotzdem geladen und es erscheint nur in der rechten unteren Ecke die Meldung. Eigentlich wurden doch die Seiten von GData zuvor komplett gesperrt...?

Bis denne
Olli

[olli]

Moin zusammen,

für Norton ist die Seite sauber. Auch vtt findet nix.

Bis denne
Olli

[markus17]

Eigentlich wurden doch die Seiten von GData zuvor komplett gesperrt...?

Jein... wenn das infizierte Script in einem gewissen Frame einer Website eingebettet ist, dann wurde oft nur dieser eine Bereich der Website blockiert. In diesem Fall scheint der Bereich nicht sichtbar zu sein, also taucht auch nirgends auf der Website die G Data Meldung auf.

Im Script coda-slider.js (siehe Anhang) wird Malware gefunden... auf den ersten Blick konnte ich da aber nichts schlimmes erkennen.
https://www.virustotal.com/file/30bc2b14996...sis/1357756269/

ps: Meine G Data Signaturen sind vom 30.11.2012 (getestet in der VM) und dort wird beim Besuch der Website ebenfalls gemeckert.
ps2: Kann mich bitte wieder jemand für den Dateiupload freischalten? xD ... nachdem ich das .js file anhängen wollte, wurde ich scheinbar gesperrt.

[scu]

Die Webseite ist tatsächlich infiziert. Was G Data erkennt, ist nicht wie im Popup zu sehen die Startseite, sondern eine externe JavaScript Datei (hxxp://www.topazlabs.com/adjust/_scripts/coda-slider.js). In den Protokollen findet man zwei Einträge zu dem Virenfund. Warum im Popup allerdings die Startseite und nicht die wirklich infizierte Seite gemeldet wird, verstehe ich nicht.

In der Datei befindet sich (scheinbar nur beim ersten Besuch, da Cookie noch nicht gesetzt) ein kleines JavaScript, welches einen Cookie setzt und dann versucht von z.B. hxxp://hivovoka.longmusic.com/z7xwy8zxwfulcy/51fe5410e6ccd502b4b600640f7a9a99/ etwas nachzuladen. Die URL variiert.
Der Schadcode wird also serverseitig in die Webseite injiziert.

Edit: Mist, markus17 war schneller

Der Beitrag wurde von scu bearbeitet: 09.01.2013, 19:42

[olli]

Muss ich mir jetzt Sorgen machen, weil ich die Seite mit Norton besucht habe? Bei VTT tut sich an der Erkennung ja nix mehr.
Bis denne
Olli

[ciacomo]

für Norton ist die Seite sauber.

F-Secure meldet sich auch nicht .


VG