Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Woher kam denn nun dieser Angriff

Frage Sicherheit Erkennung und -Abwehr

Mitglied: JPSelter

JPSelter (Level 1) - Jetzt verbinden

28.07.2008, aktualisiert 05.09.2008, 5131 Aufrufe, 6 Kommentare

Hallo zusammen,

Hier in der Firma hat sich vor 2 Wochen ein Programm "antivirus2009-scanner" installiert, als ein Mitarbeiter nichtsahnend im Internet surfte. Gemein war der Button "Soll die Software installiert werden? Ja - Nein"... er hat zwar auf "Nein" geklickt, aber genau das war der Fehler. Die Software hat sich installiert. Habe sie anschließend wieder runtergeworfen, die Reg bereinigt, übriggebliebene Verzeichnisse gelöscht und einen "echten" Virenscanner drüberlaufen lassen. Nichts zu finden.

Ich schreibe gerade einen Bericht dazu, damit andere Mitarbeiter lernen, dass sie eben nicht auf "Nein" oder "Abbrechen" klicken dürfen, sondern direkt hier anrufen. Aber dazu muss ich erstmal verstehen, woher die Malware überhaupt gekommen ist.

Hier ein Auszug aus dem Log:

2008:07:07-08:46:15 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/favicon.ico" error="" category="1710"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1w.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_wr.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_rw.gif"
2008:07:07-08:48:57 method="GET" statuscode="302" url="htttp://58.65.234.163/e/adsr.php"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://codecs.microsoft.com/isapi/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="GET" statuscode="302" url="htttp://antivirus2009-scanner.com/soft.php?aid=014202&d=2&product=XPA"

(ich habe htttp geschrieben, damit man hier nicht ausversehen draufklickt)

Die erste URL ist eine kleine Dorf-Website, nichts aufregendes, gehackt wurde die sicher nicht. Aber vielleicht lag das Problem auch in einer gif-Datei, oder im activex... auf jeden Fall ist mir schleierhaft, was genau die Malware-URL aufgerufen hatte. Was meinen die Experten?
Mitglied: harald21
28.07.2008 um 13:39 Uhr
Hallo,

alle Meldungen mit "Statuscode=404" kannst du erst einmal weglassen, "404" bedeutet "Page not found" (http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html).
Die beiden Meldungen mit "Statuscode=302" sehen mir dagegen verdächtig aus. Jedesmal wird eine PHP-Seite auf den PC übertragen ("GET") und ausgeführt. Was genau in den PHP-Seiten gemacht wird läßt sich allerdings so nicht sagen.
Ich an deiner Stelle würde die Domäne "antivirus2009-scaner.com" und die IP "58.65.234.163" an der Firewall sperren.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: Flo985
28.07.2008 um 13:54 Uhr
Hi, von dem Virus habe ich in letzter Zeit auch schon sehr vieles gehört!! Was genau macht er denn? Beziehungsweise wie kriegt man ihn? Kommt einfach eine Meldung installieren, oder wie oder was?
Bitte warten ..
Mitglied: JPSelter
28.07.2008 um 14:22 Uhr
Hab schon beide Adressen gesperrt. Die nackte IP wird von der Startseite der Dorf-Website aufgerufen, ich nehme an, das muss etwas mit dem Counter zutun haben.

Die installierte Software ist meiner Meinung nach kein Virus, sondern eine Fakeware. Sie hat sich im System installiert, auf dem Desktop und rechts unten ein Symbol abgelegt und in der Registry gab es 3 oder 4 Einträge. Die Software scannt anschließend den Rechner durch und meldet am Ende "110 Viren gefunden". Dann soll man natürlich die Software bestellen. Das alles ist aber nur ein Fake. Über die Systemsteuerung ließ sich die Software normal deinstallieren. Ich habe anschliessend aber nochmal mit einer aktuellen Avira Boot-CD nach Viren usw. gescannt, da wurde nichts gefunden.

Hab auch einen Screenshot von dem Ereignis gemacht:

http://www.ditonovia.de/misc/antivirus_2009.jpg

Besonders genial ist der Button unten rechts "continue unprotected"... wer da kein schlechtes Gewissen bekommt *lol*
Bitte warten ..
Mitglied: TuXHunt3R
28.07.2008 um 16:48 Uhr
LOL, die werden ja immer dreister mit der Fakeware.....
Bitte warten ..
Mitglied: LordGurke
29.07.2008 um 01:26 Uhr
Vielleicht erscheint die Frage jetzt doof aber...
Wieso konnte die Software installiert werden? Ein normales Benutzerkonto sollte diese Möglichkeit eigentlich nicht bieten...
Wenn allerdings lokale Adminrechte für bestimmte Anwendungen nötig sind, nehme ich alles zurück!
Bitte warten ..
Mitglied: gnarff
05.09.2008 um 19:39 Uhr
Hier ist eine ausfuehrliche und schoene Erklaerung mit kompletten Mapping dazu.

Ob eine Software sich nun installieren kann oder nicht hat nicht immer was mit Benuzterkonteneinstellungen zu tun...

Saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...