Moin,
ich bin gerade ziemlich verzweifelt. Beim Aufruf von
1
hxxp://w ww.ygro upsblog.c om/bl og/
hat mein Avira mehrfach Alarm geschlagen. Eine kurze Analyse mit
Malzilla zeigt in der Tat äußerst verdächtiges Zeug am Seitenanfang und
Ende und ein Onlinetool dessen Link sich bei Heise Security findet
bestätigt den Verdacht:
http://wepawet.cs.ucsb.edu/view.php?hash=e8fa2aa48b917ee8df77eb943cdb92fb&t=1311418434&type=js
Ich hab Windows XP und Firefox 5 mit NoScript drauf, wobei Scripte für 2
Domains (yahoo.irgendwas und yahooapis oder so) erlaubt waren.
FRAGE: Kann dieser Mist irgendwas installiert haben oder nicht? Ich hab
keine kompletten Images, nur Backups der eigenen Dateien,
Neuinstallation würde drei Tage dauern. Ich nutze den PC auch für
Onlinebanking und jetzt ist mir sehr unwohl. Aktuell bin ich mit Knoppix
unterwegs.
Hilfe! :-((
Im Report steht:
>The Microsoft Office Snapshot Viewer ActiveX control
^^^^^^^^^^^^^^^
Funktioniert das auch unter Firefox? Wenn nicht dürfte das System wohl
nicht infiziert sein oder?
Bitte um Hilfe, hier sind doch genug Experten unterwegs!
Verzweifelter schrieb:> Ich nutze den PC auch für> Onlinebanking und jetzt ist mir sehr unwohl. Aktuell bin ich mit Knoppix> unterwegs.
ich kann dir leider nicht helfen.
ich würde eigentlich für online banking (Auszüge/Überweisungen) knoppix
nehmen - und zwar auf CD, damit nichts nachgebrannt werden kann.
Ulf schrieb:>> hat mein Avira mehrfach Alarm geschlagen>> Dann wird Avira wohl auch eine Aktivität des Virus verhindert haben,> denke ich.
Ja, genau das meine ich auch, aber
> Ich bin aber kein Experte.
Ich auch nicht. :-(
Avira bemängelte übrigens irgendwas mit iframe/js oder iframe.js oder
so, das klingt doch so als sei die "Toolchain" dieser *** die den Mist
da eingebaut haben gar nicht über die erste Etape hinausgekommen oder?
Ich hab bei der "Analyse" per Malzilla dekodiert und ein paar Dateien
per wget runtergeladen und mit Programmers Notepad als .txt geöffnet. da
dürfte nichts passieren.
Sven P. schrieb:> Das Präambel da ist in der Tat eine eher ungewöhnliche Art, Inhalt> einzubauen...
Was meinst du?
Daniel schrieb:> ich würde eigentlich für online banking (Auszüge/Überweisungen) knoppix> nehmen - und zwar auf CD, damit nichts nachgebrannt werden kann.
Ja du hast ja recht, aber das hilft mir jetzt auch nicht weiter.
Ich denke ich lass Avira und Spybot über das System laufen und gut ist,
denn
-Avira hat angeschlagen und sollte damit eigentlich das Schlimmste
verhindert haben.
-Verbindungen irgendwelcher Programme ins Internet sollten normalerweise
von der Firewall abgefangen werden und da kam keine Meldung.
-Gegen Rootkits und irgendwelchen Müll ist Threadfire aktiv und da gab
es auch keine Meldung.
-Spybot hat auch nichts gesagt wobei dort die Signaturen mangels
automatischem Update (ein echtes Manko!!) leider schnell veralten.
-Meines Wissens (und das ist leider sehr begrenzt!) kann man per JS
keine Dateien unbemerkt ausführen, der eigentliche Virus muss somit
durch irgendeine Sicherheitslücke installiert werden. Laut der oben
verlinkten Analyseseite ist das irgendwas mit ActiveX und das kann
Firefox wohl nicht.
Was sagen die Profis, passt das so oder ist das lebensmüde?
Verzweifelter schrieb:> Sven P. schrieb:>> Das Präambel da ist in der Tat eine eher ungewöhnliche Art, Inhalt>> einzubauen...> Was meinst du?
Es ist ungewöhnlich, dass in eine Seite, die ansonsten ein ganz
passables HTML-Grundgerüst hat, plötzlich ein script-Tag vor dem
html-Wurzeltag steht.
Auch ist es ungewöhnlich, so eine schiefe 'Verschlüsselung' für den
Inhalt zu verbauen. Deutet doch darauf hin, etwas vor Virenscannern
verstecken zu wollen.
Sven P. schrieb:> Verzweifelter schrieb:>> Sven P. schrieb:>>> Das Präambel da ist in der Tat eine eher ungewöhnliche Art, Inhalt>>> einzubauen...>> Was meinst du?>> Es ist ungewöhnlich, dass in eine Seite, die ansonsten ein ganz> passables HTML-Grundgerüst hat, plötzlich ein script-Tag vor dem> html-Wurzeltag steht.>> Auch ist es ungewöhnlich, so eine schiefe 'Verschlüsselung' für den> Inhalt zu verbauen. Deutet doch darauf hin, etwas vor Virenscannern> verstecken zu wollen.
Ach so, ja, da hast du wohl recht. Die "Verschlüsselung" basiert auf
einem stark vermurksten fromCharCode() wobei die Werte alle noch einen
Offset (ich meine es war z=2) bekommen haben. Hab ein paar Sekunden
gebraucht bis ich da durchgesehen hab und es "malzillakompatibel" machen
konnte. Ergebnis ist - Oh Wunder - ein weiteres IFrame, steht oben im
Link.
Kannst du zu meiner geplanten Vorgehensweise was sagen? (Bist du
Experte?)
Argh ich könnte mich in den Arsch beissen, ich hatte kurz zuvor JS für
Yahoo freigegeben weil es nicht anders ging und dann sowas! Kann doch
nicht sein das selbst große Firmen wie yahoo ihre Server nicht dicht
bekommen.
OK, Lagebericht:
-Suchlauf Avira mit Signaturen von gestern: 1 Virus gefunden, nämlich
"JS/iFrame.GM.4" in der oben "verlinkten" HTML-Datei welche ich zwecks
Analyse als .txt gespeichert hatte. Klingt für mich wie ein generisches
Erkennungsmuster was offensichtlich funktioniert hat. Im Log findet sich
der selbe Treffer mehrfach von vorhin, immer(?) im Cache-Ordner von
Firefox aber teilweise mit "Zugriff erlauben". Datei gelöscht und gut.
-Suchlauf Spybot Search and Destroy mit aktuellen Signaturen: 2
Meldungen wegen WindowsSecurityCenter welche normal sind und ein
Registryschlüssel welcher als "VX2.b.BDS" erkannt wird. Dort wird auf
"DVBStreamExplorer 3" verwiesen (genauer auf eine DLL) welches ich mal
installiert hatte. DLL und EXE sind laut Virustotal sauber, ich halte
das für einen false positive.
-msconfig ist auf den ersten Blick sauber aber das heisst nichts.
Für mich nichts worüber man sich Sorgen machen müsste.
Und was anderes ist mir eingefallen: Ich hatte (wenn ich mich richtig
erinnere) JS für yahoo und yahooapis freigegeben, aber nicht für
y---gr--oupblog, denn es gibt keinen Grund dazu, ich hab die Seite laden
lassen, eine Sekunde angeguckt, für uninteressant befunden und auf
Zurück geklickt. Avira durchsucht wohl den FF-Cache und hat deshalb
angeschlagen, aber da der schädliche Code direkt im Quellcode vorhanden
war (also NICHT als <sript *src=...* >) dürfte er gar nicht ausgeführt
worden sein. Außerdem bleibt noch die Sache mit ActiveX.
Ich würde mal sagen "Noch mal Glück gehabt." Wenn Avira anschlägt (und
der Virus nicht Eicar heisst) kriege ich immer totale Panik, sorry for
that. schäm :-(
Es würde mich aber trotzdem interessieren wie die ihren Code in die
Seite bekommen haben.
Nur fürs Protokoll: Seit gestern scheint Avira etwas überempfindlich zu
sein, selbst die Analyseseite wird als Virus erkannt. Grund ist folgende
Zeichenkette:
Es handelt sich offensichtlich um einen von den "yahoo-Crackern"
benutzten Exploit welche auf der Analyseseite als TEXT eingebunden ist
und den Scanner triggert. Kann man solche Fehlalarme irgendwo melden?
f*ck, jetzt läuft mein Virenscanner schon Amok wenn ich nur diesen
Thread aufrufe.
Mods : Oberen Beitrag bitte löschen!
Nur fürs Protokoll: Seit gestern scheint Avira etwas überempfindlich zu
sein, selbst die Analyseseite wird als Virus erkannt. Grund ist die mit
"hcp" anfangende Zeichenkette unter Network Activity-Requests.
Es handelt sich offensichtlich um einen von den "yahoo-Crackern"
benutzten Exploit welche auf der Analyseseite als TEXT eingebunden ist
und den Scanner triggert. Kann man solche Fehlalarme irgendwo melden?
Thread beobachten
Seitenaufteilung abschalten