Verfasst am: Freitag, 22.02.2008, 01:04 Titel:
Popup-Fenster bei Call-in-tv
Thema Beschreibung: Popup-Fenster bei Call-in-tv
Als ich gestern Morgen (21.02) versucht hatte auf die Seite www.citv.nl zu kommen passierte folgendes: Mein Virenscanner schlug Alarm und es öffnete sich ein zweites Fenster mit irgendeiner amerikanischen Werbung. Als ich dieses in meinen virencontainer verschoben hatten und noch mal die "gnomen-seite" (über googel)aufrief, kam wieder von meinem Virenscan die Meldung "Verbindung trennen " Empfohlen. (wg. verbindung trennen)
Meine Frage hier im neuen Thread, wie war das bei Euch?
Bist du blöd. Mach das nicht. Lass die kommen.So lange wie das steigt, jeden mitnehmen.
Dieser Beitrag wurde verfasst vom Benutzer: kknaecke
Das wird vermutlich mit diesem hier von MvO angesprochenem Hack zusammenhängen.
Mir ist kein Pop-Up aufgefallen, das wird aber vermutlich mit dem Pop-Up-Blocker zusammenhängen.
Allerdings glaube ich mich zu erinnern, dass ich mich eingeloggt habe, um unmittelbar danach wieder rauszufliegen.
Also wirklich unmittelbar nach dem Einloggen war ich wieder nicht eingeloggt.
Die genaue Uhrzeit zu dem Vorfall (?) habe ich mir allerdings nicht gemerkt.
War in jedem Fall aber letzte Nacht irgendwann.
Auf alle Fälle sollte man das Passwort schnellstens ändern, habe ich Morks Angaben entnommen.
Dieser Beitrag wurde verfasst vom Benutzer: sauerwerder
Da hinter der ganzen Sache ein untergeordneter Automatismus stand, der den Iframe
in verschiendene Indexdatein kopiert hat und das Ziel des auf dem russischen Servers
abgelegten Trojaners Passwörter für Onlinebanking etc. sind, wird dieser wohl nicht viel
mit den evtl. geklauten Passwörtern anfangen können. Bei dem Trojaner auf dem russischen
Server handelte es sich um den Trojan-Spy.Zbot <- Klick für Info. Hier ist auch sehr schön beschrieben, wie man das Ding aufspürt und welche Registry-Einträge er setzt.
Trotzdem sollten User, die sich gestern zwischen 3:00 Uhr und 10:00 Uhr eingeloggt haben, unbedingt ihre Logindaten erneuern! Auf dem Server citv.nl selbst gab es keinen Virus.
Nur mal zur Info:
Alleine gestern zwischen 17:00 und Mitternacht gab es 24 Versuche von Botnetzwerkdronen,
auf dem Server Rootkits zu installieren. Etwa 10 davon wurden speziell dafür geschrieben,
über Hintertüren die Boardengine als Einstiegsloch zu benutzen. Und das passiert Tag für Tag.
Ganz normaler Internetalltag der Botnetzwerke. Mit entsprechenden Programmen kann man dies
jedoch leicht erkennen und abwehren. In unserem Fall hat ein Bot einen andernen Weg als über den Web-Server genommen. Wir vermuten Passwortklau durch abhören auf FTP-Ebene. Die Passwörter haben wir natürlich geändert. Im Grunde könnte man noch von Glück reden. Es gibt schlimmere Hacks.
Viele Grüße
Rico
Edit:
Wer einen kostenlosen Virenscanner benötigt, sollte mal ClamAV für Windows( ClamWin ) laufen lassen. Eigentlich ein Linuxprojekt für das es eine Menge Schnittstellen zB. für Samba, viele MTA's wie Qmail, Postfix und den Spamfilter Spamassassin gibt. Kostet keinen Cent und wird täglich mit neuen Signaturen versorgt. Zuletzt bearbeitet von redled am Samstag, 23.02.2008, 13:10, insgesamt 6-mal bearbeitet
Dieser Beitrag wurde verfasst vom Benutzer: redled
Trotzdem sollten User, die sich gestern zwischen 3:00 Uhr und 10:00 Uhr eingeloggt haben, unbedingt ihre Logindaten erneuern! Auf dem Server citv.nl selbst gab es keinen keinen Virus.
Rico
Also nach der Virusblockierungsnachricht die ich erhalten hatte beim Zugriff, sowie dem blockierten Popup kam es mir nicht wirklich IN DEN SINN ein PASSWORT einzugeben......
Ich mache dann was man dann üblicherweise tun sollte, sofort Austiegsbutton der Firewall klicken und tschüss..., vielleicht noch Delete all Browsing History und das wars dann auch schon...
Ich fahre ja auch nicht mit verbundenen Augen Auto
Ein Großteil der Sendestrecken im Privatfernsehen wird inzwischen gefüllt von schlechtausgebildeten Trickbetrügern und mäßig begabten Hütchenspielern, die auf der Straße keine zehn Minuten überstehen würden, ohne verhaftet oder von der Kundschaft niedergeschlagen zu werden.
Dieser Beitrag wurde verfasst vom Benutzer: Nebelspalter
Ich mache dann was man dann üblicherweise tun sollte, sofort Austiegsbutton der Firewall klicken und tschüss..., vielleicht noch Delete all Browsing History und das wars dann auch schon...
Warum denn das? Du hast doch ein Virenschutzprogramm, da kann doch nichts passieren. Oder traust Du dem doch nicht so ganz?
Diese (anscheinend eh nur bei aktiviertem Javascript ausgeführten) Aktionen an sich waren sicher nicht dazu da, Passwörter abzufischen. Wer auf dem Server Dateien verändern kann, kann u.U. aber auch die Datenbank auslesen.
Und wenn das hier tatsächlich über mitlesen des FTP-Passwortes ging, könnte ja auch schon vorher was gewesen sein. Ohne auffällige Auswirkungen.
Ich habe die Erfahrung gemacht, daß ein Antivirenprogramm alleine unzureichend ist.
Man sollte auf unterschiedliche Strategien innerhalb der Searchengine setzen.
Deshalb empfehle ich neben dem Virenprogram seiner Wahl mindestens ein Zweites!
Auch Rootkitscanner sollten nicht fehlen. Im Fall des ...Z.Bots handelt es sich um ein Rootkit.
Bitte dazu die Informationen zum Trojaner hinter dem Link lesen
Besonders die Beschreibung der veränderten Registry Einträge durch den ZBot sind dort schön
aufgelistet. Ich führe das an dieser Stelle nochmals auf, da ich in dem Trojaner eine große Gefahr
durch den eingebauten Keylogger sehe. Und das Teil holt weitere Freunde ins Haus
Threat characteristics of ZBot - a banking trojan that disables firewall, steals sensitive financial data (credit card numbers, online banking login details), makes screen snapshots, downloads additional components, and provides a hacker with the remote access to the compromised system.
Trojan-Spy.Zbot is a rootkit trojan which steals online banking information and downloads other malware as well. It opens backdoors on infected computer to allow malicious attacker unauthorized access.
A keylogger program that can capture all user keystrokes (including confidential details such username, password, credit card number, etc.)
Es werden folgende Dateien im System angelegt:
1 %System%\ntos.exe 115.712 bytes 0x68CF5A927F0AE92B513F4F67B8413223
2 [file and pathname of the sample #1] 46.592 bytes 0xA63CBA970CFFB865E887BF887C91B9A8
3 %System%\wsnpoem\audio.dll 99 bytes 0x05D7ABAEC04FD3D960930AB1F73A7369
4 %System%\wsnpoem\video.dll 0 bytes 0xD41D8CD98F00B204E9800998ECF8427E
In der Registrierung des kompromitierten Systems werden folgende Änderungen vorgenommen:
Registry Modifications
* The newly created Registry Values are:
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
+ UID = "%ComputerName%_0001C55E"
o [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer]
+ {F710FA10-2031-3106-8872-93A2B5C5C620} = F7 09 F2 0D
* The following Registry Values were modified:
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
+ Userinit = "%System%\userinit.exe,%System%\ntos.exe,"
o so that ntos.exe runs every time Windows starts [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
+ Cookies = "%System%\config\systemprofile\Cookies"
+ Cache = "%System%\config\systemprofile\Local Settings\Temporary Internet Files"
+ History = "%System%\config\systemprofile\Local Settings\History"
Hier ein Tool zum aufspüren und entfernen von Rootkits. Ich habe dieses geprüft und als nützlich eingestuft. Das Programm bietet auch einen Registryeditor.
Und lasst bitte Clamwin laufen. Das kostet nichts und findet ne ganze Menge Malware, da ClamAV eigentlich als Emailscanner auf Unix-Systemen gedacht war und ein besonderes Auge auf Trojaner hat. Virusdefinitionen werden täglich erneuert. Ich wette, daß bei vielen Usern trotz aktuellen Virenscanner Malware bzw. Trojaner gefunden werden.
Wer "auf Nummer sicher" gehen will, benutzt noch ein weiteres Programm, zB. F-Prot (Trial, 30 Tage). Bitte darauf achten, daß nicht mehrere Echtzeitscanner parallel laufen. Das führt entweder zum Crash oder man beschuldigt sich gegenseitig eines Viruses ClamAV passt also immer zum vorhandenen Echtzeitscanner.
Auf citv.nl selbst war zu keiner Zeit ein Trojaner. Die Meldung entstand durch einen Redirect auf einen russischen Server, der schon bekannt dafür ist, derartige Schweinereien zu verteilen. Wir entschuldigen uns trotzdem für diese Unannehmlichkeit.
Ich habe im Net etwas gestöbert und siehe da, es sind noch weitere Seiten betroffen. Hier eine Auflistung der IP's der Server, die das Zeug verteilen : 194.1.152.172, 195.2.253.90, 195.2.252.107 = updateservernet.cn Eine Whois-Abfrage bringt folgendes ans Licht:
Hier ein Tool zum aufspüren und entfernen von Rootkits. Ich habe dieses geprüft und als nützlich eingestuft. Das Programm bietet auch einen Registryeditor.
Wenn man ein Rootkit auf dem Rechner hatte, sollte man sein System neu aufsetzten da man nicht weiss was für Sachen noch auf dem Rechner lauern. Rootkits sind bekannt dafür dass sie weitere Schadprogramme herunterladen die meistens von den Antiviren-Programmen noch nicht entdeckt werden.
dj
Dieser Beitrag wurde verfasst vom Benutzer: djchrilli
Da hast Du schon recht @djchrilli. Um sicher sicher zu gehen, daß wirklich alles sauber ist, sollte
man sein System neu aufsetzen. Das ist der schnelle Weg=) Das Problem von Rootkits sind nicht die zusätzlichen Spielereien die es evtl. zusätzlich runterlädt, sondern daß sie unter Umständen Systembefehle bzw. Systembestandteile so manipulieren, daß Virenscanner und andere Gegenmittel diese nicht mehr finden. Hier hilft es mit entsprechenden Programmen von jeder Datei auf dem System eine Prüfsumme (Hashwert) errechnen zu lassen. Natürlich sollte das System frisch sein. Im Falle einer Veränderung kann man nun nachvollziehen, wo gefummelt wurde.
Das permanente Neuaufsetzen, wie es in diversen Zeitschriften immer wieder halbherzig hingeschmiert wird ist ein dummer Rat. Das muss nämlich nicht unbedingt sein. Es gibt Fälle, wo eine Neuinstallation unumgänglich ist. Nämlich immer dann, wenn Computerbildleser sämtlichen Schund auf Ihre Rechner würgen um zu gucken, wie wohl die neue Betaversion vom Internetexplorer aussieht oder aber die Finger von diversen Pornoseiten nicht lassen können . Die Sauereien sollen lediglich die niederen Instinkte wecken um Dich handlungsunfähig zu machen und zu blenden. Dahinter verbirgt sich eine Flut von Spionen. Und einer von denen rutscht immer durch
Ich gehe nach der Reinigung von Hand (Funktion des Trojaners studieren!) so vor:
Da ein Trojaner oder ein Rootkit ja bekanntlich mit seinem Herren reden möchte, öffnet es diverse hohe Ports um zu kommunizieren. Ich nehme also als das verdächtige System vom Netz und schalte eine Unixgurke vor, die als Gateway mit Firewall nach innen fungiert. Dort lasse ich ein IDS und ntop laufen und belausche den Netzwerkverkehr auf verdächtige Aktivitäten wie Portscanns oder den ausgehenden Traffic. Bleibt alles ruhig, sieht die Sache gut aus, ansonsten habe ich versagt =) und die lästige Neuinstallation wird fällig.
Natürlich kann man diesen Aufwand nur betreiben, wenn genug Rechner zur Verfügung stehen..logisch.
Wichtig: Antivirenprogramme bei Verdacht auf eine Infektion des Rechners immer im abgesicherten Modus laufen lassen! Auch wenn der Monitor zum Flimmerbastard wird. Trojaner tarnen sich zu gerne. Im abgesicherten Modus fliegt diese Tarnung meist auf, da der Trojaner nicht aktiv ist. Viele Schadprogramme sitzen auch in den Modulen der Netzwerk-Komponenten, die im abgesicherten Modus nicht aktiv sind bzw. es nicht sein sollten.
Das wichtigste im Falle einer Infektion ist aber immer, daß man sich nicht auf sein Antivirenprogramm alleine verlässt. Deswegen rate ich zu mind. 2 verschiedenen Scannern + Tool zum aufspüren von Ad-Ware, zB. "Ad-Aware SE Personal" und einen Rootkitscanner...oder auch zwei =)
Und nicht vergessen...abgesicherter Modus
Dieser Beitrag wurde verfasst vom Benutzer: redled
Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst deine Beiträge in diesem Forum nicht bearbeiten. Du kannst deine Beiträge in diesem Forum nicht löschen. Du kannst an Umfragen in diesem Forum nicht mitmachen.