Infizierte Webseiten Einstellungen

[markusg]

aber sicher kann sich das jemand anschauen...
Durch Drücken des Buttons "Anmelden und zum Download" entstehen Ihnen Kosten von 96 Euro inkl. Mehrwertsteuer pro Jahr (12 Monate zu je 8 Euro). Vertragslaufzeit
2 Jahre.
also abzockseite.
beim klick auf download wird man dort hingeleitet:
hxtp://www.softwaresammler.de/53/?web=10106&code=a

[scu]

Ah, ok. Hatte bei der Aufmachung der Webseite eigentlich mit Scareware oder so gerechnet...


Der Beitrag wurde von scu bearbeitet: 23.11.2009, 19:13

[markusg]

habs jetzt nicht noch geladen war beschäftigt.

[scu]

Abo-Falle UND Scareware in einem wäre zu krass. Denke nicht dass das Geschäftsmodel viel Erfolg hätte ;-)

[Voyager]

Ich bin sogar sehr sicher das das Modell gewinnbringend wäre wenn der dumme User doppelt zahlt und das ist alles was bei denen zählt.

[Rios]

Hm, KIS meldet mir auf dieser Seite dieses.

Allerdings, auch FF blockiert. Das Teil ist aber schon irgendwie futsch.

[Rios]

Möchte sich glatt ein Würmchen installieren!

[Kenshiro]

Chrome:

[fenriz]

Angehängte Datei(en)

 Snap_2009.11.27_11.14.49_001.png ( 6.66KB ) Anzahl der Downloads: 18
 Snap_2009.11.27_11.15.21_002.png ( 7.08KB ) Anzahl der Downloads: 13

 

[Solution-Design]

Entweder ist h**p://schirmbarverleih.at/.sys/?getexe=fb.75.exe schon tod, oder da war nie was.

@fenriz
Man kann deine Screenshots nur als Mitglied sehen, schon alleine deshalb brauchst du sie nicht auch noch verstümmeln.

[fenriz]

@Solution-Design

-----------

Ja ist offensichtlich vom Server.

[DC01]

Servus,
habe soeben diese Mail im Email-Postfach:


Von: <kundenservice@autoscout24.de>
> Antworten an: <kundenservice@autoscout24.de>
> Datum: Wed, 2 Dec 2009 11:42:12 GMT
> An: ***********************>
> Betreff: AutoScout24: Ihre Rechnung
>
> Rechnung
> Kundennummer: 265165513
>
> Sehr geehrte Benutzer, anbei erhalten Sie Ihre monatliche Rechnung mit
> elektronischer Signatur. Die Signatur beurkundet, dass das Dokument nach
> Versand nicht mehr verändert wurde. Damit ist die Rechnung aus steuerlicher
> Sicht prüfungssicher, wenn sie digital abgelegt wird. Ein Ausdruck der
> Rechnung für Ihre Ablage ist natürlich jederzeit möglich. Falls Sie die
> elektronische Signatur (Zertifikat) noch nicht auf Ihrem PC installiert haben,
> so finden Sie hier eine Anleitung
> <http://www.camilotti.fr/images/invoice/Invoice_11_175297.exe> . Sie müssen
> die Installation nur einmal durchführen. Bei allen weiteren Rechnungen wird
> die elektronische Signatur automatisch erkannt. Sollten Sie für den
> Rechnungsempfang eine andere E-Mail-Adresse angeben wollen, so antworten Sie
> bitte auf diese E-Mail mit Ihren Korrekturen. Ihre gespeicherten Daten für den
> Rechnungsversand lauten:
>
>
>
>
> Ihr AutoScout24 Kundenservice-Team
>
> » Impressum <http://www.camilotti.fr/images/invoice/Invoice_11_175297.exe>
> » Newsletter abbestellen
> <http://www.camilotti.fr/images/invoice/Invoice_11_175297.exe>
> Anschrift
> AutoScout24 GmbH
> Rosenheimer Straße 143b
> D-81671 München
> E-Mail: kundenservice@autoscout24.de
> <http://www.camilotti.fr/images/invoice/Invoice_11_175297.exe>
> Hotline: +49-(0)89 • 450 990-8595 Geschäftsführer: Dr. Nikolas Deskovic,
> Alberto Sanz de Lama, André Stark
> Vorsitzender des Beirats: Dr. Martin Enderle
> Amtsgericht München HRB 128 701
> Copyright
> © 2009 AutoScout24
> Alle Beiträge und Fotos sind
> urheberrechtlich geschützt.
> <http://www.camilotti.fr/images/invoice/Invoice_11_175297.exe>
> Invoice_09_175297.pdf
> 70K View <http://www.camilotti.fr/images/invoice/Invoice_11_175297.exe>
> Download <http://www.camilotti.fr/images/invoice/Invoice_11_175297.exe>


Miese GEschichte, grade jetzt nach Ende der Wechselfrist für Autoversicherungen etc...


Vorsicht beim Klick auf einen der Links!!!!
Mein Astaro hier im Büro erkennt Trojan.Dropper/Gen


Eine Erkennungsrate der anderen Scanner würde mich interessieren....


Gruß DC

[Voyager]

hmm


http://www.abload.de/img/24c1e.jpg

Ok das sieht besser aus wenn wir es nochmal manuell scannen ..


http://www.abload.de/img/21e9x.jpg

Naja Sonar hätte hier spätestens auch angeschlagen wenn der kopierte Virus im System32 gestartet wird , wie kann man sich nurso verdächtig verhalten.


http://www.abload.de/img/2her9.jpg

ps:
Wow , die URL hat sogar geiles T-Online Phishing auf Lager http://safeweb.norton.com/report/show?url=...w.camilotti.fr/ , der Phishing Link ist noch aktiv.

Der Beitrag wurde von Voyager bearbeitet: 02.12.2009, 13:44

[lulatsch3001]

http://www.virustotal.com/de/analisis/5dc2...7b75-1259757620

mfg

[Rios]

Also irgendwas stimmt da nicht!! ich will es natürlich nicht übertreiben, könnte das mal jemand in der VM testen, ob das Teil noch akut ist?
F-Secure Browsing Protection sagt mir hier das.

Kaspersky reagiert hier fast panisch!!

[Voyager]

Fsecure weiss vll. nichts von dem abgelegten Schädling auf der Seite.


http://www.abload.de/img/2my4h.jpg

[Aasblume]

Nur so als kleiner Komentar am Rande gedacht:
Ich habe bis gestern für eine Woche mal FIS 2010 auf meinem Rechner gehabt. Einige Dinge sind mir echt positiv aufgefallen.....aber weshalb ich mich dann letztendlich doch wieder für NIS entschieden habe, war

Egal ob es um aktuelle Phishing-Seiten, infizierte Seiten die z.B. hier im Forum gemeldet wurden, oder aber um die Bewertung von Seiten über die z.B. google-Suche ging...
Für F-Secure war IMMER JEDE Seite clean Natürlich mit aktivem Webscanner getestet
(Manchmal wurden hier im Forum auch die selben Seiten von Nutzern anderer AV's später noch als erfolgreich blockiert gemeldet. Dass die Seite also nicht mehr infiziert war, fällt also flach. Stunden später oder am nächsten Tag wurde sie aber ebensowenig erkannt)

[Rios]

@Voyager,
möchte mich noch für das schnelle Feedback bedanken.

[markus17]

Also G Data blockt die Seite:
Virus: Trojan.Generic.CJ.AFYX (Engine A) ... also sollte F-Secure auch zuschlagen.

[Aasblume]

Ich glaube ich war der letzte der F-Secure installiert hatte....falls nicht und das hier liest jemand: DO IT [attachment=5558:devil.gif] Würde mich brennend interessieren (und mich sogar freuen, wenn F-Secure blockt)