Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Virus vermutlich durch den Besuch der Qype-Homepage

Mitglied: EDVMan27

EDVMan27 (Level 1) - Jetzt verbinden

01.07.2012, aktualisiert 20:42 Uhr, 4343 Aufrufe, 7 Kommentare

Hallo zusammen,

ich habe nun eben einen Anruf von einen Kunden bekommen, den wir ab demnächst betreuen sollen, dass er einen Virus auf seinem PC hat. Der typische Trojaner mit 50Euro zahlen, als GEMA-Variante und inkl. Dateiverschlüsselung.

Ich frage mich nur wie?
Ich habe die Anlage bis jetzt nur einmal gesehen und eine Kurzdoku erstellt, da sah aber alles prima aus.
Windows 7 Prof SP1 (alle Updates), FireFox (aktuellste Version mit "adblock plus") ESET Antivirus, Flash und Java aktuell.
Das Netzwerk wird durch eine "richtige" Firewall geschützt von der ich allerdings nicht die Konfiguration kenne.

Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.
Das ist natürlich nur dass was sie gesagt hat, aber die meisten Viren bekommen man nun auf Seiten mit männlicher Ausrichtung.

Weiß Jemand hierzu etwas? Besonders in Hinblick auf Qype?

Danke

Stefan
Mitglied: NetWolf
01.07.2012, aktualisiert um 19:28 Uhr
Moin Moin,

also erst mal die wichtigste Sache zuerst: Netzwerkkabel aus dem PC ziehen, damit nicht noch andere PCs im Netzwerk infiziert werden!
Dann im abgesicherten Modus starten und den Virus beseitigen. (Anleitungen gibt es reichlich)

/Edit
Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.
und die Erde ist eine Scheibe

Das ist natürlich nur dass was sie gesagt hat, aber die meisten Viren bekommen man nun auf Seiten mit männlicher Ausrichtung.
Hallo? Wie bist du denn drauf? Wie kommst du denn auf so eine uralte Weisheit? Auf Kinderseiten sind heutzutage mehr Viren und Trojaner verbreitet als auf irgendwelchen SEX-Seiten. (die verdienen Geld mit ihren Seiten und können es sich gar nicht leiten Viren zu verbreiten)

Der "GEMA" Virus/Trojaner wird i.d.R. über Email verbreitet. Viele Firmen empfangen noch HTML-Emails und wundern sich dann über solche Viren/Trojaner.

btw die Funktion einer Firewall ist es die ein- bzw. ausgehenden Ports zuzulassen. Sie ist kein Schutz gegen Viren/Trojaner. Dieses Gerücht ist damals aufgekommen als ein Virus den Port 135 genutzt hat und es hält sich hartnäckig.

/Edit
Du solltest deine Überschrift ändern, zumindest mit einem Fragezeichen versehen! So könnte man es als Behauptung verstehen und das könnte teure Konsequenzen haben!
/Edit

Grüße aus Rostock
Wolfgang
(Netwolf)
Bitte warten ..
Mitglied: Kaioshin
01.07.2012 um 23:56 Uhr
Hallo Stefan

Zitat von EDVMan27:
Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.

Vor kurzem hatte ich einen ähnlichen Fall. Der Kunde behauptete fest dass er den Computer in den letzten Tagen nicht genutzt hätte. Nach dem Überprüfen der Ereignisanzeige, stellte ich schnell fest dass der Computer in den letzten Tagen genutzt wurde. Der Browserverlauf zeigte auch die vermutliche Quelle für den Schädling.

Zitat von EDVMan27:
Ich frage mich nur wie?

Falls der Netzwerkverkehr aufgezeichnet wird, kannst du natürlich die letzten Verbindungen (kurz vor der Infizierung) analysieren. Auch den Browserverlauf kannst du anschauen (wie es in meinem Fall möglich war). Natürlich ist das Ganze nur mit Einverständnis des Kunden machbar.


Gruss,
Kaioshin
Bitte warten ..
Mitglied: Lochkartenstanzer
02.07.2012 um 09:56 Uhr
Zitat von EDVMan27:

Hallo,

Ich frage mich nur wie?

Nach dem Motto. "Das Auto hat doch Airbags, ABs, ASP, Navi, Bodenrader, Abstandswarner, etc." und trotzdem ist das Auto gegen den Baum gefahren."

was veregssen wird, ist den fahrer, äh, ich meine den user zu schulen, was trotz allem immer noch passieren kann.


Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.

Das muß überhaupt nichts mit Qype zu tun haben.

Das ist natürlich nur dass was sie gesagt hat, aber die meisten Viren bekommen man nun auf Seiten mit männlicher
Ausrichtung.

Wie kommst Du denn auf diese hohe Ross? Die Pornoseiten habe starke finanzielle Interessen und sorgen sehr stringent dafür daß Ihre Seiten sauber bleiben. Man bekommt sowas, wenn es überhaupt über den Browser kommt, meist auf "seriösen Seiten",oft z.B. durch präparierte Werbung, die von anderen Anbi8etern geladen wird.

Weiß Jemand hierzu etwas? Besonders in Hinblick auf Qype?

deren Webseite ist werberverseucht.

Von daher:

  • System frisch aufsetzen,
  • aktuelle patches einspielen,
  • dafür sorgen, daß der patchstand aktuell ist.

und ganz wichtig

  • User schulen

lks
Bitte warten ..
Mitglied: Ravers
02.07.2012 um 11:03 Uhr
Moin,

letztens rief mich ein Bekannter an, der auch von dem Virus betroffen war.
Habe auch ihm erzählt, er solle seine System auf dem aktuellen Stand halten. - Frage: wo warste denn?
War ne eigentlich ganz seriöse Seite, bin mit meinem System auf die gleiche Seite gegangen (und der Win7-Rechner war aktuell gepatched, Virenscanner "nur" Avira, TeaTimer) und schwupps hatte ich ihn auch.

Soll heißen: gepatchde Systeme geben einen die größtmögliche Sicherheit, aber auch die Systeme können dennoch erfolgreich angegriffen werden.
Daher ist Datensicherung auch unumgänglich.

Will auch meinen Vorrednern recht geben, die Infektionen kommen idR. von seriösen Seiten.

greetz
ravers
Bitte warten ..
Mitglied: Kaioshin
02.07.2012 um 21:25 Uhr
Hallo Leute

Zitat von Ravers:
[...] War ne eigentlich ganz seriöse Seite, bin mit meinem System auf die gleiche Seite gegangen (und der Win7-Rechner war > aktuell gepatched, Virenscanner "nur" Avira, TeaTimer) und schwupps hatte ich ihn auch.

Soll heißen: gepatchde Systeme geben einen die größtmögliche Sicherheit, aber auch die Systeme können dennoch erfolgreich > angegriffen werden. [...]

Im folgenden Wikipedia-Artikel sind einige Tipps in Bezug auf Schutz durch diese Infizierungsmethode.
http://de.wikipedia.org/wiki/Drive-by-Download


Gruss,
Kaioshin
Bitte warten ..
Mitglied: Lochkartenstanzer
02.07.2012 um 21:48 Uhr
Moin,

zu Kaioshins Hinweis ist noch zu ergänzen, daß die Besseren dieser Malwareschleudern auch so gebaut sind, daß sie nicht einfach alle infizieren, die vorbeikommen, sondern nur einen geringen Prozentsatz und manchmal sogar abhängig vom IP-bereich, aus dem man drauf zugreift. das evrhindert, daß man zu schnell draufkommt, wo man sich das zeug eingefangen hat und insbesondere die Admins nicht mekren, daß da etwas fault ist.

lks
Bitte warten ..
Mitglied: EmmaPeel
03.07.2012, aktualisiert um 10:18 Uhr
Hallo Stefan, ich habe letzten Samstag (also 30. Juni) exakt das Selbe erlebt. Ich habe auf der Qype-Website mehrere Seiten aufgerufen (ich bin dort angemeldeter Nutzer) und beim 3. Seitenwechsel innerhalb von Qype ging das GEMA-Virus-Fenster auf. Ich nutze Windows 7, IE9 und Antivir war auf dem neuesten Stand. Kein Virenscanner (im abgesicherten Modus) war in der Lage, den Virus zu identifizieren und auch diverse Tools versagten. Ich habe mich dann über die Systemwiederherstellung und Rücksetzung auf einen älteren Wiederherstellungspunkt vorerst gerettet. Allerdings ist das erstmal nur eine Notlösung, da der Virus vermutlich immer noch auf dem Rechner ist. Ich habe Qype per Mail informiert, aber keine Antwort erhalten. Gruß Edith
Bitte warten ..
Ähnliche Inhalte
Blogs

Was versteht man unter Krypto-Mining und inwiefern kann ein Homepage-Betreiber mit einer CPU-Auslastung der Besucher Geld machen?

gelöst Frage von cramtroniBlogs4 Kommentare

Guten Tag zusammen, habe gerade einen Bericht der "PCWELT" gelesen, aber nicht richtig verstanden, was nun Krypto-Mining ist, und ...

Cluster

Besuch in einer cinesischen BitCoin-Mine

Information von LochkartenstanzerCluster13 Kommentare

von der New York Times, mit schönen Bildern. lks PS: Wenn man die Leistung auf dem letzten Bild grob ...

Netzwerkmanagement

WLAN für externe Besucher im Betrieb

gelöst Frage von M.MarzNetzwerkmanagement12 Kommentare

Hallo zusammen, wir möchten ein externes WLAN für Besucher im Betrieb einrichten. Das wichtigste für uns ist, dass die ...

Windows Server

RPC-Dienst funktioniert vermutlich nicht

Frage von NicolaasWindows Server21 Kommentare

Hallo zusammen, ich betreibe Privat ein Netzwerk mit einem DC + Hyper-V für WSUS (S1) und einem Hyper-V-Host (S2). ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)8 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...