Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Woher kam denn nun dieser Angriff

Mitglied: JPSelter

JPSelter (Level 1) - Jetzt verbinden

28.07.2008, aktualisiert 05.09.2008, 5174 Aufrufe, 6 Kommentare

Hallo zusammen,

Hier in der Firma hat sich vor 2 Wochen ein Programm "antivirus2009-scanner" installiert, als ein Mitarbeiter nichtsahnend im Internet surfte. Gemein war der Button "Soll die Software installiert werden? Ja - Nein"... er hat zwar auf "Nein" geklickt, aber genau das war der Fehler. Die Software hat sich installiert. Habe sie anschließend wieder runtergeworfen, die Reg bereinigt, übriggebliebene Verzeichnisse gelöscht und einen "echten" Virenscanner drüberlaufen lassen. Nichts zu finden.

Ich schreibe gerade einen Bericht dazu, damit andere Mitarbeiter lernen, dass sie eben nicht auf "Nein" oder "Abbrechen" klicken dürfen, sondern direkt hier anrufen. Aber dazu muss ich erstmal verstehen, woher die Malware überhaupt gekommen ist.

Hier ein Auszug aus dem Log:

2008:07:07-08:46:15 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/favicon.ico" error="" category="1710"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1w.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_wr.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_rw.gif"
2008:07:07-08:48:57 method="GET" statuscode="302" url="htttp://58.65.234.163/e/adsr.php"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://codecs.microsoft.com/isapi/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="GET" statuscode="302" url="htttp://antivirus2009-scanner.com/soft.php?aid=014202&d=2&product=XPA"

(ich habe htttp geschrieben, damit man hier nicht ausversehen draufklickt)

Die erste URL ist eine kleine Dorf-Website, nichts aufregendes, gehackt wurde die sicher nicht. Aber vielleicht lag das Problem auch in einer gif-Datei, oder im activex... auf jeden Fall ist mir schleierhaft, was genau die Malware-URL aufgerufen hatte. Was meinen die Experten?
Mitglied: harald21
28.07.2008 um 13:39 Uhr
Hallo,

alle Meldungen mit "Statuscode=404" kannst du erst einmal weglassen, "404" bedeutet "Page not found" (http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html).
Die beiden Meldungen mit "Statuscode=302" sehen mir dagegen verdächtig aus. Jedesmal wird eine PHP-Seite auf den PC übertragen ("GET") und ausgeführt. Was genau in den PHP-Seiten gemacht wird läßt sich allerdings so nicht sagen.
Ich an deiner Stelle würde die Domäne "antivirus2009-scaner.com" und die IP "58.65.234.163" an der Firewall sperren.

mfg
Harald
Bitte warten ..
Mitglied: Flo985
28.07.2008 um 13:54 Uhr
Hi, von dem Virus habe ich in letzter Zeit auch schon sehr vieles gehört!! Was genau macht er denn? Beziehungsweise wie kriegt man ihn? Kommt einfach eine Meldung installieren, oder wie oder was?
Bitte warten ..
Mitglied: JPSelter
28.07.2008 um 14:22 Uhr
Hab schon beide Adressen gesperrt. Die nackte IP wird von der Startseite der Dorf-Website aufgerufen, ich nehme an, das muss etwas mit dem Counter zutun haben.

Die installierte Software ist meiner Meinung nach kein Virus, sondern eine Fakeware. Sie hat sich im System installiert, auf dem Desktop und rechts unten ein Symbol abgelegt und in der Registry gab es 3 oder 4 Einträge. Die Software scannt anschließend den Rechner durch und meldet am Ende "110 Viren gefunden". Dann soll man natürlich die Software bestellen. Das alles ist aber nur ein Fake. Über die Systemsteuerung ließ sich die Software normal deinstallieren. Ich habe anschliessend aber nochmal mit einer aktuellen Avira Boot-CD nach Viren usw. gescannt, da wurde nichts gefunden.

Hab auch einen Screenshot von dem Ereignis gemacht:

http://www.ditonovia.de/misc/antivirus_2009.jpg

Besonders genial ist der Button unten rechts "continue unprotected"... wer da kein schlechtes Gewissen bekommt *lol*
Bitte warten ..
Mitglied: TuXHunt3R
28.07.2008 um 16:48 Uhr
LOL, die werden ja immer dreister mit der Fakeware.....
Bitte warten ..
Mitglied: LordGurke
29.07.2008 um 01:26 Uhr
Vielleicht erscheint die Frage jetzt doof aber...
Wieso konnte die Software installiert werden? Ein normales Benutzerkonto sollte diese Möglichkeit eigentlich nicht bieten...
Wenn allerdings lokale Adminrechte für bestimmte Anwendungen nötig sind, nehme ich alles zurück!
Bitte warten ..
Mitglied: gnarff
05.09.2008 um 19:39 Uhr
Hier ist eine ausfuehrliche und schoene Erklaerung mit kompletten Mapping dazu.

Ob eine Software sich nun installieren kann oder nicht hat nicht immer was mit Benuzterkonteneinstellungen zu tun...

Saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Internet

MyStartsearch woher kam das und wie werde ich das los?

Frage von deinernstjetztInternet18 Kommentare

Hallo, ich habe seid einigen Tagen ein Problem mit meinem Webbrowsern. (Chrome, Internet Explorer) Ich habe als Startseite so ...

Windows Server

GPO - woher nehmt Ihr Euer Wissen?

gelöst Frage von PharITWindows Server12 Kommentare

Hallo allerseits, da ich immer wieder erstaunt bin, mit welchen GPO die Spezialisten hier so hantieren zum Teil kenne ...

Webbrowser

Woher lädt diese Seite ihren Content?

gelöst Frage von Aicher1998Webbrowser8 Kommentare

Hallo Wenn ich auf gehe, dann werden alle paar Sekunden Daten nachgeladen. Die Herkunft dieser Daten kann ich aber ...

Windows Server

"Unbekannte" Freigabe - woher kommt die?

Frage von FA-jkaWindows Server2 Kommentare

Ich habe in meiner Test- und Lerndomäne (beispiel.local) auf zwei Domaincontrollern je eine Freigabe eingerichtet: \\domaincontroller1\meine_freigabe\ \\domaincontroller2\meine_freigabe\ Danach habe ...

Neue Wissensbeiträge
Router & Routing

Olle Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 StundeRouter & Routing

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 15 StundenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 20 StundenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Microsoft Office

MS Office 2019 ohne OneNote - OneNote App speichert nur in Cloud

Information von Deepsys vor 1 TagMicrosoft Office5 Kommentare

Microsoft zeigt deutlich wohin alles bei Ihnen geht, OneNote 2019 wird es nicht mehr geben, und die Windows 10 ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Server SSD: NVMe PCIe 3.0 RAID?
Frage von bouneeFestplatten, SSD, Raid15 Kommentare

Hallo liebe Admins, mir stellt sich gerade die Frage, ob ein neuer Server mit SSD NVMe PCIe 3.0 Sinn ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Windows 10
Windows 10 Startmenü-Einstellungen Systemweit festlegen
Frage von flotautWindows 1013 Kommentare

Guten Morgen liebe Admins, wir möchten bei uns am Lehrstuhl demnächst auf Windows 10 umsteigen. Wir installieren unsere PC's ...

LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless12 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...