Virus Warnung - Trojaner im SC

ehemaliges mitglied · 30.08.2010, 17:01

Diese Datei wurde genau in diesem Augenblick dort abgelegt und sollte ausgeführt werden. Danke, für deine Hilfestellung. Ich habe das im Griff! Das ist mein Surfrechner ohne Zugriff auf das Netzwerk. Der wird nicht für sensible Arbeiten benutzt.

riesling1965 · 30.08.2010, 17:17

SC geht nicht zu öffnen........

ehemaliges mitglied · 30.08.2010, 17:21

Zitat von riesling1965

SC geht nicht zu öffnen........

Korrekt, ist abgeschaltet wegen der Viruswarnung!

**Schnöpp** · 30.08.2010, 17:26

Puh - und ich dachte schon, man hat mir wegen
langer Abwesenheit den Zugang gesperrt.

**Macuser** · 30.08.2010, 17:28

Zitat von Toppits

Korrekt, ist abgeschaltet wegen der Viruswarnung!

Danke dafür, sonst hätte es mich auch erwischt. Hab´ zwar Antivir drauf, aber besser ist, gar nicht auf die Seite drauf zu kommen.

ehemaliges mitglied · 30.08.2010, 18:38

Zitat von Toppits

Was ist dullplane.ru?

ich glaube, das ist kein Virus, sondern ein Javascirpt unpacker.

Hier: http://jsunpack.jeek.org/dec/go?repo...69fce5524dec77

Aber der Nukeexploit ist eine Malware, die man beseitigen muss. Ich war auch im sales corner, aber kann auf meinem pc nix finden...

Hoffe, dass es nix schlimmes ist... es wird doch wohl niemand unser geliebtes Forum attackieren...

**eos** · 30.08.2010, 18:55

Zitat von redsubmariner

ich glaube, das ist kein Virus, sondern ein Javascirpt unpacker.

Hier: http://jsunpack.jeek.org/dec/go?repo...69fce5524dec77
...

Da bekomm' ich von Norton gleich die rote Karte, wenn ich die Seite besuchen will:

http://safeweb.norton.com/report/show?url=jeek.org

Gefundene Bedrohungen: 7
Hier ist eine vollständige Liste: (Weitere Information zu einer bestimmten Bedrohung erhalten Sie, indem Sie unten auf den Namen der Bedrohung klicken)

Name der Bedrohung: Trojan.Pidief.C
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Downloader
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Bloodhound.Exploit.196
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Bloodhound.Pdexe
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Trojan Horse
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Trojan.Pidief
Adresse: http://jsunpack.jeek.org/jsunpack-n.tgz

Name der Bedrohung: Downloader
Adresse: http://jsunpack.jeek.org/dec/go?repo...2aa5a625787df0

Ein bischen viel Gewese um einen Javascript unpacker ... lieber vorsichtig sein ...

**Insoman** · 30.08.2010, 21:13

mal ne doofe frage: wenn es jamand schafft dort ein Schadprogramm einzuschleusen: sollten wir dann nicht hier unsere Passwörter ändern ?

**neunelfer** · 30.08.2010, 21:19

Gute Idee! Werde das gleich vornehmen!

***THX_Ultra*** · 30.08.2010, 21:54

Naja das eine hat mit dem anderen nicht zwingend was zu tun.
Eure Passwörter liegen verschlüsselt in unserer Datenbank -die liegt auf einem anderen Server.
Soweit ich informiert bin besteht diesbezüglich keine Gefahr.

ehemaliges mitglied · 30.08.2010, 22:17

Michael,

was ist denn passiert, dass jemand den Virus 'einschmuggeln' konnte?

**Navigator1337** · 30.08.2010, 22:41

Ich mag meinen Pinguin

.... Windows verzeichniss??

Mal ernsthaft!
Denkt ihr net über n Zertifikat nach, um den login mit https:// zu versehen?

**acid303** · 30.08.2010, 22:57

vielleicht hat jemand ein angebot im sc eingestellt, bei dem im bild ein virus versteckt war? sowas solls heutzutage ja geben, allerdings bevorzugt auf xxx-seiten

**Schoewy** · 31.08.2010, 08:26

Immer noch gesperrt!

***THX_Ultra*** · 31.08.2010, 08:33

Es wird wohl noch eine Weile dauern - immerhin muss das logfile noch ausgewertet werden und das hat geschmeidige 100MB!

Wir wollen ja auch die Ursache finden

**rabbid** · 31.08.2010, 10:36

Die ursache wird vermutlich ein Angriff über SQL-Injection sein. Damit kann man schadcode in eine Datenbank einschleusen, der dann auf Seiten (wie z.B. dem SC) ausgeprägt wird. Ziel dieses Cross-Site-Scripting-Angriffs ist es, Besucher des SC auf eine andere Seite umzulenken, wo dann meist versucht wird weitere Angriffe zu fahren (wie z.B. Malware oder Trojaner). Der Angriff ist also zweigeteilt - einmal ein Angriff auf den RLX-SErver, der dann die Besucher "weiterschickt" und dann ein Angriff auf die Clients direkt.

Wir hatten sowas letztens auch bei einem unserer Kunden. Hier muss euer Programmierer dringend sämtliche mögliche Eingaben von Usern (also alle Formulare und GET-Urls) prüfen und auf schad-Code hin untersuchen.

Heute ist die Gegenmaßnahme auf den Vorfall bei unserem Kunden eingetroffen: http://www.barracudanetworks.com/ns/...l-overview.php

Für R-l-x wahrscheinlich etwas überdimensioniert

Aber gewissenhafte Überprüfung der Programmierung hilft in der Regel auch gut. Dabei ist das Sichten des Logs schonmal ein Anfang

***THX_Ultra*** · 31.08.2010, 13:41

Soweit wir das bisher beuerteilen können war es nicht über SQL injection - mehr Details dazu will ich aber aus hoffentlich verständlichen Gründen nicht verraten.

**tat2art** · 31.08.2010, 14:32

Na, alles wieder im Griff?
Bei mir funktionierts...

**Flo74** · 31.08.2010, 14:43

sieht (wieder) gut aus!

**RainMan63** · 31.08.2010, 14:43

Thema: Virus Warnung - Trojaner im SC

Themen-Optionen

Thema durchsuchen

Anzeige

Ähnliche Themen

WARNUNG MTW Motor Group WARNUNG

WARNUNG: HTML MALAR Virus by www.timeman.net

Virus oder Trojaner auf XP-Home

Trojaner

Lesezeichen

Lesezeichen

Berechtigungen