Infizierte Webseiten Einstellungen

[Voyager]

internetsafebrowsing.com

Eine neue Fakewarnung , wer draufklickt landet auf einer FakeAV Seite

[Rios]

Klick!!
Lass mal Malwarebytes einen Quick-Scan durchführen??

[Voyager]

Lass mal Malwarebytes einen Quick-Scan durchführen??

meinste mich ?

[Voyager]

w-crook.com.ar/report_8977.exe

Bandwidth Limit Exceeded
The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later.

Wie lustig , der Bursche hat zuwenig Bandbreite gekauft um seine Malware verteilen zu können

[Rios]

meinste mich ?

Nö allgemein, kam nur aus zeitlichen gründen nicht mehr dazu. Die Fake/AV basteln nämlich sehr gerne als erstes in der Registry rum, das hätte mich noch interessiert. Hat sich aber erledigt.

[Rios]

Hier geht es mächtig zur Sache. Websense berichtet hier im Alert!!

[Voyager]

Die lassen sich immer neue Motive einfallen um die User hinters Licht zu führen


http://www.abload.de/img/zwischenablage02fy7s.jpg

[Voyager]

activeantivir.com

hier geht der Download nicht oder noch nicht , ein tolles Antivir Fake.

[Rios]

Auch einer der sich schon einige Zeit über die verschiedensten Link's zu verbreiten versucht.
h??p://.folderantispywarescanner.com

[Kenshiro]

Auch hier ist Vorsicht geboten:
hxxp://avomec.cn/?wm=70126%20&q=Liquid+Foam+Urethane+For+Race+Cars

[Rios]

Hier hat man bereits analysiert.

[Kenshiro]

nod hat ihn heuristisch erkannt
Das wundert mich bei KL nicht

[Solution-Design]

installer_70126.exe gefunden: Trojan-Downloader.Win32.FraudLoad!IK

[Kenshiro]

installer_70126.exe gefunden: Trojan-Downloader.Win32.FraudLoad!IK

a² Uwe?

[Lucky]

Mich wunderts, bei mir schlägt NOD nicht an, oder hast du auf Ok geklickt?
Ah ok man musste erste den "Virenscanner" anklicken.

Der Beitrag wurde von Lucky bearbeitet: 04.07.2009, 09:30

[Kenshiro]

Genau mein lieber Lucky, so isses

[markus17]

G Data ... 2010 hat den Zugriff auf diese Webseite verweigert.
Die Seite enthält infizierten Code: JS:FakeAV-AH [Trj] (Engine B).

Die Seite wird wahrscheinlich so etwas ähnliches sein wie diese hier:
http://scan-spyware-now.com/ (ACHTUNG VORSICHT)

Das ist die erste FakeAV Seite, wo G Data folgendes findet: JS:FakeAV ... und die Website bzw. Teile davon trotzdem noch geladen werden! (die Lupe und die Meldungsfenster) Normalerweise blockiert G Data die gesamte Website, jedoch kann man in diesem Fall das Malwarefile sogar downloaden. (wird trotzdem erkannt)

Der Beitrag wurde von markus17 bearbeitet: 04.07.2009, 11:57

[Voyager]

Genau wie hier , die Seite selbst wird bis auf die Lupe geblockt über HTTP Fakescan Webpage Erkennung , anschliessend wird schon im Cache FakeAV Antivirus2008 erkannt , eine scan_now.exe wird zum Download angeboten (Driveby Download) und diese nochmals im DownloadOrdner als FakeAV Antivirus2008 erkannt .

Möglicherweise liegts am Firefox , im IE wird die ganze Seite geblockt.


http://www.abload.de/img/17rn5.jpg

Der Beitrag wurde von Voyager bearbeitet: 04.07.2009, 12:57

[Rios]

Waledac versucht sich hier in's Spiel zu bringen!! Erkennung sollte noch nicht sehr stark sein.


Vorsicht!!

[Voyager]

Die URL scheint schon down zu sein , ich bekomme keine Namensauflösung.

2009-07-04 16:51:01 Verbinde www.fireworksholiday.com:80
2009-07-04 16:51:09 Verbindung fehlgeschlagen! Socket Error=11004
2009-07-04 16:51:09 Warte auf Wiederaufnahme(5S)
2009-07-04 16:51:14 Verbinde www.fireworksholiday.com:80

Der Beitrag wurde von Voyager bearbeitet: 04.07.2009, 15:52