Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Woher kam denn nun dieser Angriff

Frage Sicherheit Erkennung und -Abwehr

Mitglied: JPSelter

JPSelter (Level 1) - Jetzt verbinden

28.07.2008, aktualisiert 05.09.2008, 5159 Aufrufe, 6 Kommentare

Hallo zusammen,

Hier in der Firma hat sich vor 2 Wochen ein Programm "antivirus2009-scanner" installiert, als ein Mitarbeiter nichtsahnend im Internet surfte. Gemein war der Button "Soll die Software installiert werden? Ja - Nein"... er hat zwar auf "Nein" geklickt, aber genau das war der Fehler. Die Software hat sich installiert. Habe sie anschließend wieder runtergeworfen, die Reg bereinigt, übriggebliebene Verzeichnisse gelöscht und einen "echten" Virenscanner drüberlaufen lassen. Nichts zu finden.

Ich schreibe gerade einen Bericht dazu, damit andere Mitarbeiter lernen, dass sie eben nicht auf "Nein" oder "Abbrechen" klicken dürfen, sondern direkt hier anrufen. Aber dazu muss ich erstmal verstehen, woher die Malware überhaupt gekommen ist.

Hier ein Auszug aus dem Log:

2008:07:07-08:46:15 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/favicon.ico" error="" category="1710"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1w.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_wr.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_rw.gif"
2008:07:07-08:48:57 method="GET" statuscode="302" url="htttp://58.65.234.163/e/adsr.php"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://codecs.microsoft.com/isapi/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="GET" statuscode="302" url="htttp://antivirus2009-scanner.com/soft.php?aid=014202&d=2&product=XPA"

(ich habe htttp geschrieben, damit man hier nicht ausversehen draufklickt)

Die erste URL ist eine kleine Dorf-Website, nichts aufregendes, gehackt wurde die sicher nicht. Aber vielleicht lag das Problem auch in einer gif-Datei, oder im activex... auf jeden Fall ist mir schleierhaft, was genau die Malware-URL aufgerufen hatte. Was meinen die Experten?
Mitglied: harald21
28.07.2008 um 13:39 Uhr
Hallo,

alle Meldungen mit "Statuscode=404" kannst du erst einmal weglassen, "404" bedeutet "Page not found" (http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html).
Die beiden Meldungen mit "Statuscode=302" sehen mir dagegen verdächtig aus. Jedesmal wird eine PHP-Seite auf den PC übertragen ("GET") und ausgeführt. Was genau in den PHP-Seiten gemacht wird läßt sich allerdings so nicht sagen.
Ich an deiner Stelle würde die Domäne "antivirus2009-scaner.com" und die IP "58.65.234.163" an der Firewall sperren.

mfg
Harald
Bitte warten ..
Mitglied: Flo985
28.07.2008 um 13:54 Uhr
Hi, von dem Virus habe ich in letzter Zeit auch schon sehr vieles gehört!! Was genau macht er denn? Beziehungsweise wie kriegt man ihn? Kommt einfach eine Meldung installieren, oder wie oder was?
Bitte warten ..
Mitglied: JPSelter
28.07.2008 um 14:22 Uhr
Hab schon beide Adressen gesperrt. Die nackte IP wird von der Startseite der Dorf-Website aufgerufen, ich nehme an, das muss etwas mit dem Counter zutun haben.

Die installierte Software ist meiner Meinung nach kein Virus, sondern eine Fakeware. Sie hat sich im System installiert, auf dem Desktop und rechts unten ein Symbol abgelegt und in der Registry gab es 3 oder 4 Einträge. Die Software scannt anschließend den Rechner durch und meldet am Ende "110 Viren gefunden". Dann soll man natürlich die Software bestellen. Das alles ist aber nur ein Fake. Über die Systemsteuerung ließ sich die Software normal deinstallieren. Ich habe anschliessend aber nochmal mit einer aktuellen Avira Boot-CD nach Viren usw. gescannt, da wurde nichts gefunden.

Hab auch einen Screenshot von dem Ereignis gemacht:

http://www.ditonovia.de/misc/antivirus_2009.jpg

Besonders genial ist der Button unten rechts "continue unprotected"... wer da kein schlechtes Gewissen bekommt *lol*
Bitte warten ..
Mitglied: TuXHunt3R
28.07.2008 um 16:48 Uhr
LOL, die werden ja immer dreister mit der Fakeware.....
Bitte warten ..
Mitglied: LordGurke
29.07.2008 um 01:26 Uhr
Vielleicht erscheint die Frage jetzt doof aber...
Wieso konnte die Software installiert werden? Ein normales Benutzerkonto sollte diese Möglichkeit eigentlich nicht bieten...
Wenn allerdings lokale Adminrechte für bestimmte Anwendungen nötig sind, nehme ich alles zurück!
Bitte warten ..
Mitglied: gnarff
05.09.2008 um 19:39 Uhr
Hier ist eine ausfuehrliche und schoene Erklaerung mit kompletten Mapping dazu.

Ob eine Software sich nun installieren kann oder nicht hat nicht immer was mit Benuzterkonteneinstellungen zu tun...

Saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Webbrowser
gelöst Woher lädt diese Seite ihren Content? (8)

Frage von Aicher1998 zum Thema Webbrowser ...

Viren und Trojaner
Backup-Strategie: Krankenhaus konnte Ransomware-Angriff abwehren

Link von runasservice zum Thema Viren und Trojaner ...

Exchange Server
EXCHANGE 2013 Woher die "Datenmengen" (4)

Frage von Flais78 zum Thema Exchange Server ...

Neue Wissensbeiträge
Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(8)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Datenschutz

Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

Information von BassFishFox zum Thema Datenschutz ...

Firewall

PfSense OpenVPN beschleunigen

Tipp von Dobby zum Thema Firewall ...

Utilities

CCleaner 5.33 mit Malware infiziert

(27)

Information von SeaStorm zum Thema Utilities ...

Heiß diskutierte Inhalte
Utilities
CCleaner 5.33 mit Malware infiziert (27)

Information von SeaStorm zum Thema Utilities ...

Festplatten, SSD, Raid
gelöst Problem mit DELL 815R Server und Windows Bluescreen (24)

Frage von Leo-le zum Thema Festplatten, SSD, Raid ...

Windows Systemdateien
Windows bootet nicht mehr Fehlermeldung 0xc0000098 (19)

Frage von franzgoerlich zum Thema Windows Systemdateien ...

Windows Netzwerk
Dateien mit Intelligenz per GPO ins Programmverzeichnis (14)

Frage von erwin.t zum Thema Windows Netzwerk ...