Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Viren und Trojaner

GELÖST

Kaspersky schlägt an

Mitglied: TechnoX

TechnoX (Level 2) - Jetzt verbinden

25.02.2013 um 20:30 Uhr, 4909 Aufrufe, 13 Kommentare

Web Antivirus - Der Link wurde in einer Datenbank gefunden

Hallo

Ich hoffe das hier wer Licht ins Dunkel bringen kann. Mein Kumpel hat eine Homepage in Auftrag gegeben. Diese sieht ja ganz hübsch aus und is so gut wie fertig.. aber mein Kaspersky spricht darauf mit einer Warung an..

"clk.php Verboten: http://www.cittadinolibero.it/clk.php (mit der Datenbank für schädliche Webadressen untersuchen) 25.02.2013 19:02:18 http://www.cittadinolibero.it/
Grund: Der Link wurde in einer Datenbank gefunden
Programe: Firefox"

..diese Meldung kommt aber auch nicht bei jedem Klick auf der Page sondern nur bei Eingangsportal und der darauf folgenden Mainpage. Und das finde ich beunruhigend.

Es handelt sich um eine WEB Antivirus Meldung. Da ich zur Zeit nur eine Demo des Kaspersky nutze trau ich aber dem ganzen auch ned so wirklich. Er bekommt nix gemeldet und sonst hat auch keiner was gemeldet bekommen.. Kann ja gut sein das die mich mit ner Fake Meldung zum Kauf bewegen wollen. Generell bin ich von Kaspersky endteuscht das man so wenig Hintergrund Infos genannt bekommt zu dem was da vorfiel.

Wie würdet ihr die Situation auf den ersten Blick einschätzen - muss sich mein Kumpel Gedanken machen das seine neue Homepage und Aushängeschild seiner kleinen und noch in der Gründungsphase befindlichen Firma (für deren Programmierung er cash bezahlt hat) möglicherweise gefährlich sein könnte? Da ich ihm nicht Schaden will verzichte ich mal den Link hier frei zu posten..

Hat wer Erfahrung mit solchen Meldungen ?? Wie ernst sollte man das nehmen?


Mitglied: keine-ahnung
25.02.2013 um 20:41 Uhr
Zitat von TechnoX:
Moin,
Generell bin ich von Kaspersky endteuscht
das ist für diese Woche mein Lieblingslegasthenieprodukt

Eventuell versuchst Du ja mal, mit einer Büchse, die eine anderen Malwareschutz hat, auf die page zuzugreifen, bevor Du uns hier mit irgendwelchem Tünnef beträufelst?

Wie würdet ihr die Situation auf den ersten Blick einschätzen

Na, Du hast wenig bis keine-ahnung und solltest den Webdesigner fragen, der die page erstellt und hochgeladen hat. Im Zweifel kann man auch beim Hoster mal leise vorfühlen, ob da was auffällig ist. Auch ein Blick in den Quelltext der Seite kann schon den einen oder anderen Hinweis bringen. And so on, and so on ...

LG, Thomas
Bitte warten ..
Mitglied: Alchimedes
25.02.2013 um 20:58 Uhr
Hallo ,

schick mir mal den Originallink via Benachrichtigung.

Dann schau ich mir das mal an.


Gruss
Bitte warten ..
Mitglied: danielfr
25.02.2013 um 21:02 Uhr
Es handelt sich um eine WEB Antivirus Meldung. Da ich zur Zeit nur eine Demo des Kaspersky nutze trau ich aber dem ganzen auch ned
so wirklich. Er bekommt nix gemeldet und sonst hat auch keiner was gemeldet bekommen.. Kann ja gut sein das die mich mit ner Fake
Meldung zum Kauf bewegen wollen.
... so ein Blödsinn. Alle Produkte können auch mal false positives haben. Auch Kaspersky hat Logging Funktionen.

Ansonsten mal hiermit durchckecken:
https://www.virustotal.com/de/#url

Gruß Daniel
Bitte warten ..
Mitglied: Alchimedes
25.02.2013, aktualisiert um 21:32 Uhr
Hallo danielfr,


Virus total sagt dann aber nur das kein Virus/Trojaner erkannt wurde.
Das heisst aber nicht das es nicht einer ist !!

z.B hatten wir hier eine Mitarbeiterin die einen Downloadlink fuer eine Datei bekommen hatte.
Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.

Datei : Invoice_fdp.exe


Jetzt sieht es schon besser aus.
25 von 46 .....

Gruss


Antivirus Ergebnis Aktualisierung
Agnitum Trojan.Agent!odWkOERdnpQ 20130225

AhnLab-V3 - 20130225
AntiVir BDS/DarkKomet.ywh 20130225

Antiy-AVL - 20130225
Avast Win32:Malware-gen 20130225

AVG BackDoor.Generic16.BMWA 20130225

BitDefender Trojan.Generic.KDZ.7439 20130225

ByteHero - 20130221
CAT-QuickHeal - 20130225
ClamAV - 20130225
Commtouch - 20130225
Comodo - 20130225

DrWeb Trojan.DownLoader6.24432 20130225
Emsisoft - 20130225
eSafe - 20130211

ESET-NOD32 Win32/Fynloski.AA 20130225
F-Prot - 20130225

F-Secure Trojan.Generic.KDZ.7439 20130225
Fortinet W32/DarkKomet.YWH!tr.bdr 20130225
GData Trojan.Generic.KDZ.7439 20130225
Ikarus Trojan.SuspectCRC 20130225

Jiangmin - 20130225
K7AntiVirus - 20130225
Kaspersky Backdoor.Win32.DarkKomet.ywh 20130225

Kingsoft - 20130225
Malwarebytes - 20130225

McAfee Artemis!E881FA62773D 20130225
McAfee-GW-Edition Artemis!E881FA62773D 20130225
Microsoft Trojan:Win32/Ceatrg.B 20130225
MicroWorld-eScan Trojan.Generic.KDZ.7439 20130225

NANO-Antivirus - 20130225
Norman Suspicious_Gen4.CHWUR 20130225
nProtect Trojan/W32.Agent.647680.BO 20130225
Panda Trj/Dtcontx.B 20130225
PCTools - 20130225
Rising - 20130225

Sophos Troj/MSIL-BD 20130225
SUPERAntiSpyware - 20130225

Symantec WS.Reputation.1 20130225

TheHacker - 20130224
TotalDefense - 20130225

TrendMicro TROJ_GEN.RCBCDBF 20130225
TrendMicro-HouseCall TROJ_GEN.RCBCDBF 20130225
VBA32 Trojan.Agent.wuhc 20130225
VIPRE Trojan.Win32.Generic!BT 20130225
ViRobot
Bitte warten ..
Mitglied: danielfr
25.02.2013 um 21:44 Uhr
Hoi,
Virus total sagt dann aber nur das kein Virus/Trojaner erkannt wurde.
Das heisst aber nicht das es nicht einer ist !!
Das ist richtig.

z.B hatten wir hier eine Mitarbeiterin die einen Downloadlink fuer eine Datei bekommen hatte.
Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.
Wäre an der Stelle interessant, ob die Sophos AV Software die Datei auch schon erkannt hätte... Bei einem genauen Blick z.B. mit Wireshark erkennt man schon recht schnell, ob ein Trojaner nach Hause telefoniert (und die werden wohl noch etwas mehr auf Lager haben), auch wenn AV SW den Trojaner eben nicht erkennt.

Gruß Daniel
Bitte warten ..
Mitglied: Alchimedes
25.02.2013, aktualisiert um 22:12 Uhr
Hallo ,

Sophos haben wir hier als Antivirenloesung im Einsatz. Die Datei wurde nicht von Ihnen erkannt.
Wireshark haette dazu auch nichts sagen koennen da nicht klar wohin und wie telefoniert wird.

Meine eigene Analyse wird noch folgen,hab den Schmutz auf nen Stick gezogen.
Was nicht einfach war da Sophos die exe, in die Quarantäne schickt. (Selbst aufn Mac )

Wird dann mal meine Analyseversuche posten.


Auf Winbloedmoehren ist Process Explorer, von Mark Russinovich Microsoft Tech, ein sehr gutes Hilfsmittel
was unbekannte Prozesse/Threads angeht.

http://technet.microsoft.com/de-de/sysinternals/bb545021.aspx

http://www.youtube.com/watch?v=Wuy_Pm3KaV8 < absolut geil

Gruss


Nachtrag...

Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....
Bitte warten ..
Mitglied: danielfr
25.02.2013 um 22:15 Uhr
Auf Winbloedmoehren ist Process Explorer, von Mark Russinovich Microsoft Tech, ein sehr gutes Hilfsmittel
was unbekannte Prozesse/Threads angeht.

http://technet.microsoft.com/de-de/sysinternals/bb545021.aspx

http://www.youtube.com/watch?v=Wuy_Pm3KaV8 < absolut geil
... danke, das gucke ich mir mal an.

Nachtrag...

Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....
Das ist dann aber ziemlich blöde vom Entwickler, da Virus Total Daten an die AV Hersteller usw. weitergibt...
Bitte warten ..
Mitglied: Lochkartenstanzer
26.02.2013, aktualisiert um 06:44 Uhr
Zitat von Alchimedes:
Nachtrag...

Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....

Aber nur von den Skript-Kiddies. Die Profis benöigen Virustotal oder Jotti.org nicht, weil die genug Geld haben, sich die Lizenzen aller AV-Programme leisten zu können.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
26.02.2013, aktualisiert um 11:45 Uhr
Zitat von Alchimedes:
Virus total sagt dann aber nur das kein Virus/Trojaner erkannt wurde.
Das heisst aber nicht das es nicht einer ist !!

z.B hatten wir hier eine Mitarbeiterin die einen Downloadlink fuer eine Datei bekommen hatte.
Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.


Das ist auch nicht verwunderlich.

Die (Malware-)Profis testen Ihre Malware u.a. auch gegen aktuelle Viresnscanner aber nicht bei Jotti oder virustotal.

Daher wird die Malware in den ersten Tagen kaum erkannt. Und sie hat dann mehrere Stunden Tage Zeit Ihre Arbeit zu tun bis sie erkannt wird. Die c't hatte übrigens in Ihrer letzten Ausgabe (5/2013) auch einen Artikel dazu.

Die sinnvollste Vorgehensweise ist daher normalerweise eine Datei ersmal eine Woche liegenzulassen, dann nochmal durch den Virenscanner zu jagen und dann erst zu öffnen.

lks

Nachtrag: Wie man an "Roter Oktober" sieht, ist "gute" Malware auch jahrelang nicht erkennbar.
Bitte warten ..
Mitglied: TechnoX
26.02.2013 um 07:57 Uhr
Wow danke erstmal - bin gestern recht früh eingepennt.. scheiss Wetter. Da ich den Link im Geschäft nicht parat habe, schick ich ihn dir per PM sobald ich daheim bin. Die Seite is noch so neu, hab den Link grade ned auswendig im Kopf
Bitte warten ..
Mitglied: Alchimedes
27.02.2013 um 11:38 Uhr
Hallo LKS ,

hiermit http://www.heise.de/newsticker/meldung/Stuxnet-0-5-Der-Sabotage-Wurm-is ... hat sich ja Deine Vermutung
Die (Malware-)Profis testen Ihre Malware u.a. auch gegen aktuelle Viresnscanner aber nicht bei Jotti oder
virustotal.

nicht bestaetigt.

Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
27.02.2013 um 12:44 Uhr
Zitat von Alchimedes:
Hallo LKS ,

hiermit http://www.heise.de/newsticker/meldung/Stuxnet-0-5-Der-Sabotage-Wurm-is ... hat sich ja Deine
Vermutung
> Die (Malware-)Profis testen Ihre Malware u.a. auch gegen aktuelle Viresnscanner aber nicht bei Jotti oder
> virustotal.

nicht bestaetigt.


Ausnahmen bestätigen die Regel.

Die Betaversionen wurde zwar bei irustotal eingekippt, aber spätere Versionen sind da nicht mehr aufgetaucht. Warum wohl? Und selbst nach dem testen ist das zeug offensichtlich jahrelang nicht erkannt worden.

lks
Bitte warten ..
Mitglied: TechnoX
04.03.2013 um 17:12 Uhr
Also - Lösung: Es war tatsächlich infiziert da jemand die Webseite gehackt hatte. (..so die Aussage des verwaltenden Admins zu meinem Kumpel). Jemand hatte dessen Webserver geknackt..

Kam echt bis jetzt auch ned zum Antworten sorry

Danke für eure Hilfe
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
AV Kaspersky
Frage von EverestViren und Trojaner4 Kommentare

Hallo alle IT Experten, wollte fragen, ob ihr gute Erfahrung mit AV Kaspersky habt? Bei mir in der neunen ...

Sicherheits-Tools
Kaspersky Offline Installer
gelöst Frage von MarkowitschSicherheits-Tools10 Kommentare

Hallo liebe ITler, ich suche den Kaspersky Antivirus 2017 - Offline Installer zum download. Auf dem Kaspersky FTP Server ...

Sicherheit
Kaspersky verlangsamt die ClientPCs
Frage von ManneKLSicherheit5 Kommentare

Hallo, Kaspersky Endpoint Security 10 für Windows scannt auf dem Client-Pc's die gesamte Festplatte obwohl in der Programmeinstellung auf ...

Sicherheits-Tools
Kaspersky Antivirus 2015 Download
gelöst Frage von MarkowitschSicherheits-Tools4 Kommentare

Hallo liebe ITler, seit kurzem kann man die neueste Version des Kaspersky Antivirus (auch andere Kaspersky Produkte) nicht mehr ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen8 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...