PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Virus Warnung - Trojaner im SC



Drevodom
30.08.2010, 14:58
Hallo,

beim Laden des SC gab es bei mir gerade eine Virus Warnung und auch die Schriften
im SC wirken verschoben....

Gruss
Martin

ehemaliges mitglied
30.08.2010, 15:04
Was ist dullplane.ru?

THX_Ultra
30.08.2010, 15:05
Moment. Was genau wird dir angezeigt??
exakte Meldung bitte

ehemaliges mitglied
30.08.2010, 15:08
Ich habe einen Scriptblocker installiert. Der blockt jetzt ein Script von dullplane.ru. Soll auf der Seite vom SC ausgeführt werden.

ferrismachtblau
30.08.2010, 15:14
Yepp, da sollte auch bei mir grade ein javascript ausgeführt werden. Nach etwas warten ist mir Firefox dabei abgestürzt, nachdem ich ein zusätzlich nötiges plugin nicht bestätigt hatte.

Gruß Frank

Drevodom
30.08.2010, 15:15
Die Virus - Meldung kommt jetzt bei mir nicht mehr, aber bei Hochladen der SC - Seite
versucht der Rechner auf eine Page mit Endung .ru zuzugreifen...

Gruss
Martin

Etranger Explorer
30.08.2010, 15:17
http://a.imageshack.us/img824/9141/medlung.jpg

Diese Meldung kommt bei mir.

ehemaliges mitglied
30.08.2010, 15:17
Ich habe mit Michael (THX) telefoniert. Ist bereits an den Programmierer der Seite weitergeleitet. Wird überprüft!

THX_Ultra
30.08.2010, 15:17
Ok Danke!!
Wir checken das asap!

Hypophyse
30.08.2010, 15:34
Am Ende des Quelltextes wird dullplane.ru/Y2K.js (http://micapeak.com/cgi-bin/sho?theURL=http%3A%2F%2Fdullplane.ru%2FY2K.js) eingebunden. Keine Ahnung, was das bewirkt oder ob da erst noch etwas kommt.

hugo
30.08.2010, 15:43
beim ansehen der classics preisliste 1990-99

norton antivirus hat gemeldet

url angreifer crazyion.ru:8080/jquery.jxx?v:5.3.4
quelladresse 192.168.178.20
tcp,anschluss 4431
risiko hoch http nukespoilt request

was das ???

eos
30.08.2010, 15:58
Hatte noch keine Zeit detailliert zu suchen, aber Norton liefert das hier:
http://community.norton.com/t5/Norton-360/I-m-Attacking-myself-weird-russian-address/m-p/270397

ehemaliges mitglied
30.08.2010, 16:06
Avira schlägt an mit:

In der Datei 'C:\WINDOWS\system32\fjhdyfhsn.bat'
wurde ein Virus oder unerwünschtes Programm 'BAT/Agent.140' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Allerdings meldet Avira oftmals "Falsch-Positiv"!

PCS
30.08.2010, 16:26
beim ansehen der classics preisliste 1990-99

norton antivirus hat gemeldet

url angreifer crazyion.ru:8080/jquery.jxx?v:5.3.4
quelladresse 192.168.178.20
tcp,anschluss 4431
risiko hoch http nukespoilt request

was das ???

McAfee schlägt bei mir in genanntem Thread nicht an.

ehemaliges mitglied
30.08.2010, 16:27
Avira ebenfalls nicht! Obiger Post betraf den SC!

PCS
30.08.2010, 16:28
Wo ist dann Deine oben zitierte Meldung her, Ralf? RLX-Sales?

eos
30.08.2010, 16:29
Klassische Vorgehensweise aus diversen Trojaner Boards:

1. Malwarescanner von http://www.malwarebytes.org/ runterladen
2. Installieren
3. Update durchführen um aktuelle Signaturen zu haben
4. Quick Scan durchführen
5. Ggf. Full Scan durchführen

eos
30.08.2010, 16:35
McAfee schlägt bei mir in genanntem Thread nicht an.

Norton hat anscheinend ein verdächtiges 'Traffic Pattern' bemerkt (http nukespoilt request). Die Frage ist, auf welcher Verbindung und ob es einen Zusammenhang mit der Seite gab oder nicht. Ich weiss nicht, ob McAfee über solche Scan Mechanismen verfügt, falls nicht, bleibt es still.

ehemaliges mitglied
30.08.2010, 16:37
Wo ist dann Deine oben zitierte Meldung her, Ralf? RLX-Sales?

Ja!

Rechner A zeigte das Script. Avira blieb ruhig. Virendefinitionen vom 29.08.
Rechner B zeigte og. Meldung. Virendefinitionen vom 30.08.

uhrvieh
30.08.2010, 16:55
Avira schlägt an mit:

In der Datei 'C:\WINDOWS\system32\fjhdyfhsn.bat'
wurde ein Virus oder unerwünschtes Programm 'BAT/Agent.140' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Allerdings meldet Avira oftmals "Falsch-Positiv"!

So eine Datei gehört sicher nicht in das Windowsverzeichnis. Dein Rechner scheint schon infiziert zu sein. False postive ist das sicher nicht. Datei löschen und Rechner genauer untersuchen - wenn so eine Datei dort schon liegt, ist wahrscheinlich schon was im Argen:op:

ehemaliges mitglied
30.08.2010, 17:01
Diese Datei wurde genau in diesem Augenblick dort abgelegt und sollte ausgeführt werden. Danke, für deine Hilfestellung. Ich habe das im Griff! Das ist mein Surfrechner ohne Zugriff auf das Netzwerk. Der wird nicht für sensible Arbeiten benutzt.:D

riesling1965
30.08.2010, 17:17
SC geht nicht zu öffnen........

ehemaliges mitglied
30.08.2010, 17:21
SC geht nicht zu öffnen........

Korrekt, ist abgeschaltet wegen der Viruswarnung!

Schnöpp
30.08.2010, 17:26
Puh - und ich dachte schon, man hat mir wegen
langer Abwesenheit den Zugang gesperrt.

Macuser
30.08.2010, 17:28
Korrekt, ist abgeschaltet wegen der Viruswarnung!

Danke dafür, sonst hätte es mich auch erwischt. Hab´ zwar Antivir drauf, aber besser ist, gar nicht auf die Seite drauf zu kommen.

ehemaliges mitglied
30.08.2010, 18:38
Was ist dullplane.ru?

ich glaube, das ist kein Virus, sondern ein Javascirpt unpacker.

Hier: http://jsunpack.jeek.org/dec/go?report=ee9130f03f9512ca5021583e1369fce5524dec77

Aber der Nukeexploit ist eine Malware, die man beseitigen muss. Ich war auch im sales corner, aber kann auf meinem pc nix finden...

Hoffe, dass es nix schlimmes ist... es wird doch wohl niemand unser geliebtes Forum attackieren...

eos
30.08.2010, 18:55
ich glaube, das ist kein Virus, sondern ein Javascirpt unpacker.

Hier: http://jsunpack.jeek.org/dec/go?report=ee9130f03f9512ca5021583e1369fce5524dec77
...

Da bekomm' ich von Norton gleich die rote Karte, wenn ich die Seite besuchen will:

http://safeweb.norton.com/report/show?url=jeek.org

Gefundene Bedrohungen: 7
Hier ist eine vollständige Liste: (Weitere Information zu einer bestimmten Bedrohung erhalten Sie, indem Sie unten auf den Namen der Bedrohung klicken)

Name der Bedrohung: Trojan.Pidief.C
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Downloader
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Bloodhound.Exploit.196
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Bloodhound.Pdexe
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Trojan Horse
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Trojan.Pidief
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Downloader
Adresse: http://jsunpack.jeek.org/dec/go?report=27448e4fe99b7d2d07949f26622aa5a625787df0

Ein bischen viel Gewese um einen Javascript unpacker ... lieber vorsichtig sein ...

Insoman
30.08.2010, 21:13
mal ne doofe frage: wenn es jamand schafft dort ein Schadprogramm einzuschleusen: sollten wir dann nicht hier unsere Passwörter ändern ?

neunelfer
30.08.2010, 21:19
Gute Idee! Werde das gleich vornehmen!

THX_Ultra
30.08.2010, 21:54
Naja das eine hat mit dem anderen nicht zwingend was zu tun.
Eure Passwörter liegen verschlüsselt in unserer Datenbank -die liegt auf einem anderen Server.
Soweit ich informiert bin besteht diesbezüglich keine Gefahr.

ehemaliges mitglied
30.08.2010, 22:17
Michael,

was ist denn passiert, dass jemand den Virus 'einschmuggeln' konnte?

Navigator1337
30.08.2010, 22:41
Ich mag meinen Pinguin :gut: .... Windows verzeichniss?? :grb:

Mal ernsthaft!
Denkt ihr net über n Zertifikat nach, um den login mit https:// zu versehen?

acid303
30.08.2010, 22:57
vielleicht hat jemand ein angebot im sc eingestellt, bei dem im bild ein virus versteckt war? sowas solls heutzutage ja geben, allerdings bevorzugt auf xxx-seiten :ka:

Schoewy
31.08.2010, 08:26
Immer noch gesperrt!

THX_Ultra
31.08.2010, 08:33
Es wird wohl noch eine Weile dauern - immerhin muss das logfile noch ausgewertet werden und das hat geschmeidige 100MB!

Wir wollen ja auch die Ursache finden :)

rabbid
31.08.2010, 10:36
Die ursache wird vermutlich ein Angriff über SQL-Injection sein. Damit kann man schadcode in eine Datenbank einschleusen, der dann auf Seiten (wie z.B. dem SC) ausgeprägt wird. Ziel dieses Cross-Site-Scripting-Angriffs ist es, Besucher des SC auf eine andere Seite umzulenken, wo dann meist versucht wird weitere Angriffe zu fahren (wie z.B. Malware oder Trojaner). Der Angriff ist also zweigeteilt - einmal ein Angriff auf den RLX-SErver, der dann die Besucher "weiterschickt" und dann ein Angriff auf die Clients direkt.

Wir hatten sowas letztens auch bei einem unserer Kunden. Hier muss euer Programmierer dringend sämtliche mögliche Eingaben von Usern (also alle Formulare und GET-Urls) prüfen und auf schad-Code hin untersuchen.

Heute ist die Gegenmaßnahme auf den Vorfall bei unserem Kunden eingetroffen: http://www.barracudanetworks.com/ns/products/web-site-firewall-overview.php

Für R-l-x wahrscheinlich etwas überdimensioniert ;) Aber gewissenhafte Überprüfung der Programmierung hilft in der Regel auch gut. Dabei ist das Sichten des Logs schonmal ein Anfang :gut:

THX_Ultra
31.08.2010, 13:41
Soweit wir das bisher beuerteilen können war es nicht über SQL injection - mehr Details dazu will ich aber aus hoffentlich verständlichen Gründen nicht verraten.

tat2art
31.08.2010, 14:32
Na, alles wieder im Griff?
Bei mir funktionierts...

Flo74
31.08.2010, 14:43
sieht (wieder) gut aus!

RainMan63
31.08.2010, 14:43
http://i36.tinypic.com/9abg42.jpg

nobbu
31.08.2010, 14:45
Hallo liebe Admins,
das habt Ihr ja schnell wieder hinbekommen. Bei mir läuft es auch wieder.
Vielen dank

riesling1965
31.08.2010, 14:49
Habe gerade eine Warnung bekommen ( NOD Antivirus )

HTML Skrinjekt.B.Gen Virus

THX_Ultra
31.08.2010, 15:30
Kannst mir bitte die genaue Meldung kopieren - wir sind uns recht sicher, dass alles schadhafte aus dem SC entfernt wurde.
Vor allem wäre das jetzt eine komplett andere Meldung als Gestern. 8o8o

eos
31.08.2010, 15:42
http://i36.tinypic.com/9abg42.jpg

HEUR = Heuristik. Man hat also keine konkret identifizierbare Signatur gefunden, sondern ein Skript, das verdächtig ist.
Wäre spannend zu wissen, wie das Skript selbst aussieht.

ehemaliges mitglied
31.08.2010, 16:09
Yep, kann sein das nur das Virenprogramm zu scharf eingestellt ist. Wäre interessant zu Wissen was Avira, Norton und Symantec zu der Seite melden. Dazu müsste sie aber wieder frei sein.

hugo
31.08.2010, 16:57
norton internet security sagt bei mittlerer einstellung derzeit nichts

NOmBre
31.08.2010, 16:59
Muss man sich da jetzt eigentlich sorgen machen??

ehemaliges mitglied
31.08.2010, 17:06
Solange es ****** gibt die versuchen Schadcode in Seiten einzufügen ist das Surfen im Internet nie zu 100% sicher. Man sollte einen Virenschutz auf dem Rechner haben und diesen aktuell halten. Regelmäßige Updates beim Betriebssystem, beim Adobe Reader, beim Flash und bei Java-Script sind auch wichtig.

In dem Fall hier wurde die Bedrohung vom Virenprogramm angezeigt und die Seite war nach 10 Minuten vom Netz!

Besser kann man nicht reagieren als Seitenbetreiber!

riesling1965
31.08.2010, 17:12
Kannst mir bitte die genaue Meldung kopieren - wir sind uns recht sicher, dass alles schadhafte aus dem SC entfernt wurde.
Vor allem wäre das jetzt eine komplett andere Meldung als Gestern. 8o8o

Kann es nicht kopieren .

RainMan63
31.08.2010, 17:59
HEUR = Heuristik. Man hat also keine konkret identifizierbare Signatur gefunden, sondern ein Skript, das verdächtig ist.
Wäre spannend zu wissen, wie das Skript selbst aussieht.

Jetzt OK!