Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Erkennung und -Abwehr

Woher kam denn nun dieser Angriff

Mitglied: JPSelter

JPSelter (Level 1) - Jetzt verbinden

28.07.2008, aktualisiert 05.09.2008, 5167 Aufrufe, 6 Kommentare

Hallo zusammen,

Hier in der Firma hat sich vor 2 Wochen ein Programm "antivirus2009-scanner" installiert, als ein Mitarbeiter nichtsahnend im Internet surfte. Gemein war der Button "Soll die Software installiert werden? Ja - Nein"... er hat zwar auf "Nein" geklickt, aber genau das war der Fehler. Die Software hat sich installiert. Habe sie anschließend wieder runtergeworfen, die Reg bereinigt, übriggebliebene Verzeichnisse gelöscht und einen "echten" Virenscanner drüberlaufen lassen. Nichts zu finden.

Ich schreibe gerade einen Bericht dazu, damit andere Mitarbeiter lernen, dass sie eben nicht auf "Nein" oder "Abbrechen" klicken dürfen, sondern direkt hier anrufen. Aber dazu muss ich erstmal verstehen, woher die Malware überhaupt gekommen ist.

Hier ein Auszug aus dem Log:

2008:07:07-08:46:15 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/favicon.ico" error="" category="1710"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1w.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_wr.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_rw.gif"
2008:07:07-08:48:57 method="GET" statuscode="302" url="htttp://58.65.234.163/e/adsr.php"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://codecs.microsoft.com/isapi/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="GET" statuscode="302" url="htttp://antivirus2009-scanner.com/soft.php?aid=014202&d=2&product=XPA"

(ich habe htttp geschrieben, damit man hier nicht ausversehen draufklickt)

Die erste URL ist eine kleine Dorf-Website, nichts aufregendes, gehackt wurde die sicher nicht. Aber vielleicht lag das Problem auch in einer gif-Datei, oder im activex... auf jeden Fall ist mir schleierhaft, was genau die Malware-URL aufgerufen hatte. Was meinen die Experten?
Mitglied: harald21
28.07.2008 um 13:39 Uhr
Hallo,

alle Meldungen mit "Statuscode=404" kannst du erst einmal weglassen, "404" bedeutet "Page not found" (http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html).
Die beiden Meldungen mit "Statuscode=302" sehen mir dagegen verdächtig aus. Jedesmal wird eine PHP-Seite auf den PC übertragen ("GET") und ausgeführt. Was genau in den PHP-Seiten gemacht wird läßt sich allerdings so nicht sagen.
Ich an deiner Stelle würde die Domäne "antivirus2009-scaner.com" und die IP "58.65.234.163" an der Firewall sperren.

mfg
Harald
Bitte warten ..
Mitglied: Flo985
28.07.2008 um 13:54 Uhr
Hi, von dem Virus habe ich in letzter Zeit auch schon sehr vieles gehört!! Was genau macht er denn? Beziehungsweise wie kriegt man ihn? Kommt einfach eine Meldung installieren, oder wie oder was?
Bitte warten ..
Mitglied: JPSelter
28.07.2008 um 14:22 Uhr
Hab schon beide Adressen gesperrt. Die nackte IP wird von der Startseite der Dorf-Website aufgerufen, ich nehme an, das muss etwas mit dem Counter zutun haben.

Die installierte Software ist meiner Meinung nach kein Virus, sondern eine Fakeware. Sie hat sich im System installiert, auf dem Desktop und rechts unten ein Symbol abgelegt und in der Registry gab es 3 oder 4 Einträge. Die Software scannt anschließend den Rechner durch und meldet am Ende "110 Viren gefunden". Dann soll man natürlich die Software bestellen. Das alles ist aber nur ein Fake. Über die Systemsteuerung ließ sich die Software normal deinstallieren. Ich habe anschliessend aber nochmal mit einer aktuellen Avira Boot-CD nach Viren usw. gescannt, da wurde nichts gefunden.

Hab auch einen Screenshot von dem Ereignis gemacht:

http://www.ditonovia.de/misc/antivirus_2009.jpg

Besonders genial ist der Button unten rechts "continue unprotected"... wer da kein schlechtes Gewissen bekommt *lol*
Bitte warten ..
Mitglied: TuXHunt3R
28.07.2008 um 16:48 Uhr
LOL, die werden ja immer dreister mit der Fakeware.....
Bitte warten ..
Mitglied: LordGurke
29.07.2008 um 01:26 Uhr
Vielleicht erscheint die Frage jetzt doof aber...
Wieso konnte die Software installiert werden? Ein normales Benutzerkonto sollte diese Möglichkeit eigentlich nicht bieten...
Wenn allerdings lokale Adminrechte für bestimmte Anwendungen nötig sind, nehme ich alles zurück!
Bitte warten ..
Mitglied: gnarff
05.09.2008 um 19:39 Uhr
Hier ist eine ausfuehrliche und schoene Erklaerung mit kompletten Mapping dazu.

Ob eine Software sich nun installieren kann oder nicht hat nicht immer was mit Benuzterkonteneinstellungen zu tun...

Saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Internet
MyStartsearch woher kam das und wie werde ich das los?
Frage von deinernstjetztInternet18 Kommentare

Hallo, ich habe seid einigen Tagen ein Problem mit meinem Webbrowsern. (Chrome, Internet Explorer) Ich habe als Startseite so ...

Viren und Trojaner
Eventueller Malware Angriff auf nginx...
Frage von linuxverbrezlerViren und Trojaner4 Kommentare

Hab grad die Access Log von Nginx durchgeforstet hier taucht ab und an folgendes auf: 185.4.227.194 05/Mar/2014:08:19:21 +0100 "GET ...

Windows Server
GPO - woher nehmt Ihr Euer Wissen?
gelöst Frage von PharITWindows Server12 Kommentare

Hallo allerseits, da ich immer wieder erstaunt bin, mit welchen GPO die Spezialisten hier so hantieren zum Teil kenne ...

Webbrowser
Woher lädt diese Seite ihren Content?
gelöst Frage von Aicher1998Webbrowser8 Kommentare

Hallo Wenn ich auf gehe, dann werden alle paar Sekunden Daten nachgeladen. Die Herkunft dieser Daten kann ich aber ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 22 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit26 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...

SAN, NAS, DAS
Hilfe beim Einrichten eines Storages (SAN)
gelöst Frage von Vader666SAN, NAS, DAS15 Kommentare

Hallo Admins! Ich bin in einer kleineren Firma und hatte bisher mit dem Thema SAN nur in meiner Ausbildung ...