Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kaspersky schlägt an

Frage Sicherheit Viren und Trojaner

Mitglied: TechnoX

TechnoX (Level 2) - Jetzt verbinden

25.02.2013 um 20:30 Uhr, 4718 Aufrufe, 13 Kommentare

Web Antivirus - Der Link wurde in einer Datenbank gefunden

Hallo

Ich hoffe das hier wer Licht ins Dunkel bringen kann. Mein Kumpel hat eine Homepage in Auftrag gegeben. Diese sieht ja ganz hübsch aus und is so gut wie fertig.. aber mein Kaspersky spricht darauf mit einer Warung an..

"clk.php Verboten: http://www.cittadinolibero.it/clk.php (mit der Datenbank für schädliche Webadressen untersuchen) 25.02.2013 19:02:18 http://www.cittadinolibero.it/
Grund: Der Link wurde in einer Datenbank gefunden
Programe: Firefox"

..diese Meldung kommt aber auch nicht bei jedem Klick auf der Page sondern nur bei Eingangsportal und der darauf folgenden Mainpage. Und das finde ich beunruhigend.

Es handelt sich um eine WEB Antivirus Meldung. Da ich zur Zeit nur eine Demo des Kaspersky nutze trau ich aber dem ganzen auch ned so wirklich. Er bekommt nix gemeldet und sonst hat auch keiner was gemeldet bekommen.. Kann ja gut sein das die mich mit ner Fake Meldung zum Kauf bewegen wollen. Generell bin ich von Kaspersky endteuscht das man so wenig Hintergrund Infos genannt bekommt zu dem was da vorfiel.

Wie würdet ihr die Situation auf den ersten Blick einschätzen - muss sich mein Kumpel Gedanken machen das seine neue Homepage und Aushängeschild seiner kleinen und noch in der Gründungsphase befindlichen Firma (für deren Programmierung er cash bezahlt hat) möglicherweise gefährlich sein könnte? Da ich ihm nicht Schaden will verzichte ich mal den Link hier frei zu posten..

Hat wer Erfahrung mit solchen Meldungen ?? Wie ernst sollte man das nehmen?


Mitglied: keine-ahnung
25.02.2013 um 20:41 Uhr
Zitat von TechnoX:
Moin,
Generell bin ich von Kaspersky endteuscht
das ist für diese Woche mein Lieblingslegasthenieprodukt

Eventuell versuchst Du ja mal, mit einer Büchse, die eine anderen Malwareschutz hat, auf die page zuzugreifen, bevor Du uns hier mit irgendwelchem Tünnef beträufelst?

Wie würdet ihr die Situation auf den ersten Blick einschätzen

Na, Du hast wenig bis keine-ahnung und solltest den Webdesigner fragen, der die page erstellt und hochgeladen hat. Im Zweifel kann man auch beim Hoster mal leise vorfühlen, ob da was auffällig ist. Auch ein Blick in den Quelltext der Seite kann schon den einen oder anderen Hinweis bringen. And so on, and so on ...

LG, Thomas
Bitte warten ..
Mitglied: Alchimedes
25.02.2013 um 20:58 Uhr
Hallo ,

schick mir mal den Originallink via Benachrichtigung.

Dann schau ich mir das mal an.


Gruss
Bitte warten ..
Mitglied: danielfr
25.02.2013 um 21:02 Uhr
Es handelt sich um eine WEB Antivirus Meldung. Da ich zur Zeit nur eine Demo des Kaspersky nutze trau ich aber dem ganzen auch ned
so wirklich. Er bekommt nix gemeldet und sonst hat auch keiner was gemeldet bekommen.. Kann ja gut sein das die mich mit ner Fake
Meldung zum Kauf bewegen wollen.
... so ein Blödsinn. Alle Produkte können auch mal false positives haben. Auch Kaspersky hat Logging Funktionen.

Ansonsten mal hiermit durchckecken:
https://www.virustotal.com/de/#url

Gruß Daniel
Bitte warten ..
Mitglied: Alchimedes
25.02.2013, aktualisiert um 21:32 Uhr
Hallo danielfr,


Virus total sagt dann aber nur das kein Virus/Trojaner erkannt wurde.
Das heisst aber nicht das es nicht einer ist !!

z.B hatten wir hier eine Mitarbeiterin die einen Downloadlink fuer eine Datei bekommen hatte.
Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.

Datei : Invoice_fdp.exe


Jetzt sieht es schon besser aus.
25 von 46 .....

Gruss


Antivirus Ergebnis Aktualisierung
Agnitum Trojan.Agent!odWkOERdnpQ 20130225

AhnLab-V3 - 20130225
AntiVir BDS/DarkKomet.ywh 20130225

Antiy-AVL - 20130225
Avast Win32:Malware-gen 20130225

AVG BackDoor.Generic16.BMWA 20130225

BitDefender Trojan.Generic.KDZ.7439 20130225

ByteHero - 20130221
CAT-QuickHeal - 20130225
ClamAV - 20130225
Commtouch - 20130225
Comodo - 20130225

DrWeb Trojan.DownLoader6.24432 20130225
Emsisoft - 20130225
eSafe - 20130211

ESET-NOD32 Win32/Fynloski.AA 20130225
F-Prot - 20130225

F-Secure Trojan.Generic.KDZ.7439 20130225
Fortinet W32/DarkKomet.YWH!tr.bdr 20130225
GData Trojan.Generic.KDZ.7439 20130225
Ikarus Trojan.SuspectCRC 20130225

Jiangmin - 20130225
K7AntiVirus - 20130225
Kaspersky Backdoor.Win32.DarkKomet.ywh 20130225

Kingsoft - 20130225
Malwarebytes - 20130225

McAfee Artemis!E881FA62773D 20130225
McAfee-GW-Edition Artemis!E881FA62773D 20130225
Microsoft Trojan:Win32/Ceatrg.B 20130225
MicroWorld-eScan Trojan.Generic.KDZ.7439 20130225

NANO-Antivirus - 20130225
Norman Suspicious_Gen4.CHWUR 20130225
nProtect Trojan/W32.Agent.647680.BO 20130225
Panda Trj/Dtcontx.B 20130225
PCTools - 20130225
Rising - 20130225

Sophos Troj/MSIL-BD 20130225
SUPERAntiSpyware - 20130225

Symantec WS.Reputation.1 20130225

TheHacker - 20130224
TotalDefense - 20130225

TrendMicro TROJ_GEN.RCBCDBF 20130225
TrendMicro-HouseCall TROJ_GEN.RCBCDBF 20130225
VBA32 Trojan.Agent.wuhc 20130225
VIPRE Trojan.Win32.Generic!BT 20130225
ViRobot
Bitte warten ..
Mitglied: danielfr
25.02.2013 um 21:44 Uhr
Hoi,
Virus total sagt dann aber nur das kein Virus/Trojaner erkannt wurde.
Das heisst aber nicht das es nicht einer ist !!
Das ist richtig.

z.B hatten wir hier eine Mitarbeiterin die einen Downloadlink fuer eine Datei bekommen hatte.
Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.
Wäre an der Stelle interessant, ob die Sophos AV Software die Datei auch schon erkannt hätte... Bei einem genauen Blick z.B. mit Wireshark erkennt man schon recht schnell, ob ein Trojaner nach Hause telefoniert (und die werden wohl noch etwas mehr auf Lager haben), auch wenn AV SW den Trojaner eben nicht erkennt.

Gruß Daniel
Bitte warten ..
Mitglied: Alchimedes
25.02.2013, aktualisiert um 22:12 Uhr
Hallo ,

Sophos haben wir hier als Antivirenloesung im Einsatz. Die Datei wurde nicht von Ihnen erkannt.
Wireshark haette dazu auch nichts sagen koennen da nicht klar wohin und wie telefoniert wird.

Meine eigene Analyse wird noch folgen,hab den Schmutz auf nen Stick gezogen.
Was nicht einfach war da Sophos die exe, in die Quarantäne schickt. (Selbst aufn Mac )

Wird dann mal meine Analyseversuche posten.


Auf Winbloedmoehren ist Process Explorer, von Mark Russinovich Microsoft Tech, ein sehr gutes Hilfsmittel
was unbekannte Prozesse/Threads angeht.

http://technet.microsoft.com/de-de/sysinternals/bb545021.aspx

http://www.youtube.com/watch?v=Wuy_Pm3KaV8 < absolut geil

Gruss


Nachtrag...

Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....
Bitte warten ..
Mitglied: danielfr
25.02.2013 um 22:15 Uhr
Auf Winbloedmoehren ist Process Explorer, von Mark Russinovich Microsoft Tech, ein sehr gutes Hilfsmittel
was unbekannte Prozesse/Threads angeht.

http://technet.microsoft.com/de-de/sysinternals/bb545021.aspx

http://www.youtube.com/watch?v=Wuy_Pm3KaV8 < absolut geil
... danke, das gucke ich mir mal an.

Nachtrag...

Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....
Das ist dann aber ziemlich blöde vom Entwickler, da Virus Total Daten an die AV Hersteller usw. weitergibt...
Bitte warten ..
Mitglied: Lochkartenstanzer
26.02.2013, aktualisiert um 06:44 Uhr
Zitat von Alchimedes:
Nachtrag...

Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....

Aber nur von den Skript-Kiddies. Die Profis benöigen Virustotal oder Jotti.org nicht, weil die genug Geld haben, sich die Lizenzen aller AV-Programme leisten zu können.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
26.02.2013, aktualisiert um 11:45 Uhr
Zitat von Alchimedes:
Virus total sagt dann aber nur das kein Virus/Trojaner erkannt wurde.
Das heisst aber nicht das es nicht einer ist !!

z.B hatten wir hier eine Mitarbeiterin die einen Downloadlink fuer eine Datei bekommen hatte.
Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.


Das ist auch nicht verwunderlich.

Die (Malware-)Profis testen Ihre Malware u.a. auch gegen aktuelle Viresnscanner aber nicht bei Jotti oder virustotal.

Daher wird die Malware in den ersten Tagen kaum erkannt. Und sie hat dann mehrere Stunden Tage Zeit Ihre Arbeit zu tun bis sie erkannt wird. Die c't hatte übrigens in Ihrer letzten Ausgabe (5/2013) auch einen Artikel dazu.

Die sinnvollste Vorgehensweise ist daher normalerweise eine Datei ersmal eine Woche liegenzulassen, dann nochmal durch den Virenscanner zu jagen und dann erst zu öffnen.

lks

Nachtrag: Wie man an "Roter Oktober" sieht, ist "gute" Malware auch jahrelang nicht erkennbar.
Bitte warten ..
Mitglied: TechnoX
26.02.2013 um 07:57 Uhr
Wow danke erstmal - bin gestern recht früh eingepennt.. scheiss Wetter. Da ich den Link im Geschäft nicht parat habe, schick ich ihn dir per PM sobald ich daheim bin. Die Seite is noch so neu, hab den Link grade ned auswendig im Kopf
Bitte warten ..
Mitglied: Alchimedes
27.02.2013 um 11:38 Uhr
Hallo LKS ,

hiermit http://www.heise.de/newsticker/meldung/Stuxnet-0-5-Der-Sabotage-Wurm-is ... hat sich ja Deine Vermutung
Die (Malware-)Profis testen Ihre Malware u.a. auch gegen aktuelle Viresnscanner aber nicht bei Jotti oder
virustotal.

nicht bestaetigt.

Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
27.02.2013 um 12:44 Uhr
Zitat von Alchimedes:
Hallo LKS ,

hiermit http://www.heise.de/newsticker/meldung/Stuxnet-0-5-Der-Sabotage-Wurm-is ... hat sich ja Deine
Vermutung
> Die (Malware-)Profis testen Ihre Malware u.a. auch gegen aktuelle Viresnscanner aber nicht bei Jotti oder
> virustotal.

nicht bestaetigt.


Ausnahmen bestätigen die Regel.

Die Betaversionen wurde zwar bei irustotal eingekippt, aber spätere Versionen sind da nicht mehr aufgetaucht. Warum wohl? Und selbst nach dem testen ist das zeug offensichtlich jahrelang nicht erkannt worden.

lks
Bitte warten ..
Mitglied: TechnoX
04.03.2013 um 17:12 Uhr
Also - Lösung: Es war tatsächlich infiziert da jemand die Webseite gehackt hatte. (..so die Aussage des verwaltenden Admins zu meinem Kumpel). Jemand hatte dessen Webserver geknackt..

Kam echt bis jetzt auch ned zum Antworten sorry

Danke für eure Hilfe
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Installation
Windows Upgrade schlägt fehl (11)

Frage von ratzekahlx zum Thema Windows Installation ...

Windows Installation
gelöst Adobes Flash Player für den Internet Explorer schlägt mit Fehler 1722 fehl (10)

Frage von iGordon zum Thema Windows Installation ...

Sonstige Systeme
Kaspersky OS: Kaspersky stellt eigenes Betriebssystem vor (2)

Link von tomolpi zum Thema Sonstige Systeme ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...