Warnung: Security Tool - domainers.fm Nutzer

[sadshade]

Hallo,

leider habe ich mir Anfang letzter Woche auf einer Website das
"Security Tool" eingefangen. Konnte den Virus/Maleware zwar
entfernen, jedoch hatte es schon meine FTP-Daten ausgespäht.

Heute musste ich Infizierungen bei diversen Websites feststellen,
auf die ich Zugriff habe. Wir sind dabei die Seiten zu bereinigen.
Leider war auch die domainers.fm betroffen, deshalb schaut bitte
nach, ob sich auf Euren Systemen etwas verändert hat.

Bei mir war es so, dass sich das vermeintliche Hilfsprogramm
eigenständig installiert hat, nachdem ich offenbar die falsche
Website angeklickt habe. Das Programm wirft nach der eigenständigen
Installation diverse Viren- und Trojanerwarnungen aus. Obwohl ich
nach der Installation keine weiteren Maßnahmen des Tools erlaubt habe,
hat es offensichtlich dennoch die FTP-Daten ausgelesen und an die Hacker
weitergeleitet... :bawling:

Sorry,
sadshade

 

[Sn0w]

so kann vermelden das alle bei mir infizierten seiten bereinigt wurden. es betraf zum glück nicht die domainers.fm. allerdings die domainstammtisch.net. wer also nach dem 14.1. da drauf war, sollte bitte mal in seine ftp accounts schauen ob da dateien (index.*, main.*,home.* und sämtliche .js dateien) nach dem 14. aktualisiert wurden.

gruß
ronny

 

[soundbites]

Das Problem hatte ich vor ca. 1 Jahr - überprüft dringend das das Aktuelle Java-Update (daran hat es bei mir gelegen) eingespielt ist und auch Acrobat immer fleissig updaten....

Grüße
soundbites

 

[holgerr]

virus

hallo,

verteh ich nicht ganz, welcher virus/trojaner und vor allem wie/wo kann der ftp daten auslesen ???

gruß

 

[soundbites]

Ich denke er liest keine Daten aus, sondern er pflanzt einfach einen verschlüsselten Code (redirect) in allen oben beschriebenen dateien, vor/während den hochladens auf den Webserver...

 

[sadshade]

Das "Programm" hat sich die gespeicherten Zugangsdaten aus meinem FTP-Programm besorgt und an den Urheber des Scripts gesendet. Die greifen mit den Daten auf den Webspace zu und infizieren dann alle html, php,... Seiten, die sie finden...

Das Ganze ist unabhängig von einem Zugriff meinerseits passiert. Es waren auch Sites betroffen, auf die ich in der letzten Woche nicht per FTP zugegriffen habe.

LG
sadshade

 

[Paul_Kuhn]

so kann vermelden das alle bei mir infizierten seiten bereinigt wurden. es betraf zum glück nicht die domainers.fm. allerdings die domainstammtisch.net. wer also nach dem 14.1. da drauf war, sollte bitte mal in seine ftp accounts schauen ob da dateien (index.*, main.*,home.* und sämtliche .js dateien) nach dem 14. aktualisiert wurden.

gruß
ronny

Gibts da bitte etwas mehr Infos bezüglich dieses Vorgangs?
Ich habe hier rund 2.000 Dateien, die anscheinend davon betroffen sind.
Woher/wieso/warum - ich weiss es nicht, und behaupte erstmal, dass
es nicht mit dem Besuch der inkriminierten Seite(?) in Zusammenhang
steht.

Wonach suche ich denn explizit auf meinem Arbeits-Rechner?
Mein stets aktuell gehaltenes Antiviren-Programm vermeldt auch nach
mehrstündigem intensiven Suchlauf jedenfalls nichts verdächtiges und
doch spacken plötzlich 70 Domains und deren Plugins herum. Mit einem
mal funktionieren 20 Plugins nicht mehr, beim Aufruf des Admin-Bereiches
werde ich mit einer Nachricht konfrontiert, dass die DB sich geändert habe.
Ausserdem erscheinen im Admin-Bereich 50-70 Fehlermeldungen mitten
im Hauptbildschirm....


Ahoi!

 

[sadshade]

Das Security Tool hatte sich bei mir auf dem Rechner im Ordner ProgramData installiert. Glaube der Ordnername bestand nur aus Zahlen...

Im Gegensatz zu den teilweise massiven Behinderungen, die im Netz zum Security Tool geschildert wurden, verlief es bei mir relativ harmlos. Nach dem Anklicken der betroffenen Seite ging für einen Moment im Browser nichts mehr. Anschließend bekam ich die Info, dass das Security Tool erfolgreich installiert wurde, das vermeintliche "Sicherheitsprogramm" öffnete sich selbstständig und zeigte mir eine massive Infizierung meines Rechners an. Da mir die ganze Sache allerdings wenig koscher vorkam, habe ich die Bereinigung meines Systems dankend abgelehnt. Den Rechner runter gefahren. Auf einem anderen Rechner im Internet nach einem geeigneten Programm zur Entfernung gesucht, das empfohlene Anti-Malware runtergeladen, auf Stick gespeichert und anschließend auf meinem Problemrechner installiert und ausgeführt. Das Programm hat das Security Tool dann komplett entfernt.

Gestern hab ich dann gesehen, dass einige meiner Websites nun auch ungefragt das Security Tool installieren. Habe mir den Quellcode der Dateien angeschaut und es standen mehrere Passagen drin, die nicht reingehören.

Der Fremdcode sieht so oder so ähnlich aus:
/*GNU GPL*/ try{window.onload = function(){var X08yhffhg7xkxf = ...;document.body.appendChild(X08yhffhg7xkxf);}} catch(e) {}

Bei mir stand beispielsweise statt GNU GPL - LGPL...

Ich hoffe, das hilft weiter. Ansonsten bei Tante G einfach mal nach Security Tool suchen...

 

[omc]

ihr könnt einem am morgen früh richtig angst machen.
ric

 

[Wettermann]

Bitte nochmal Laienverständlich gesammelt:

Wo fängt man sich den Mist ein?
Wie erkennt man, dass man betroffen ist? Muss man danach suchen wenn man sonst keine Auffälligkeiten feststellt?

 

[soundbites]

Ich denke das passt hier auch gut dazu:
heise online - Gezielte Angriffe auf Unternehmen gehen weiter

Mein Tip mit Acrobat war anscheinend gar nicht schlecht ;-)

 

[sadshade]

Ich habe mir den Mist beim normalen Surfen eingefangen. Habe bei G recherchiert, eine Seite aufgerufen und damit wars vorbei... System wurde langsam und anschließend bekam ich die Meldung, dass das Security Tool erfolgreich installiert wurde...

Bei mir hat sich das Programm dann andauernd selbstständig gemeldet, also wars nicht möglich, die Infizierung nicht zu bemerken. Ansonsten einfach in den angesprochenen Ordner ProgramData schauen, ob dort ein auffälliger Ordner existiert.

 

[forsaken]

Die Lösung ist eigentlich ganz einfach:

Finger weg vom IE -> am besten deinstallieren!

Finger weg vom Acrobat -> am besten deinstallieren!

Für Beides gibt es sehr gute und wie ich finde um längen bessere Alternativen!

Ciao
Forsaken

 

[soundbites]

Ich habe mir den Mist beim normalen Surfen eingefangen.

Deshalb brauchst du einen vernünftigen Virenscanner, keinen kostenlosen freeav.
Meine Empfehlung "G-Data". Hatte auf meinen Laptop mcafee vorinstalliert und auch die neuesten updates runtergeladen, trotzdem habe ich mir einen virus eingefangen (mcafee hat nicht mal gemeckert), der mich beim surfen immer auf andere seiten weitergeleitet hatte. Hast nicht mehr wegbekommen, die scheisse (selbst nicht mit der G-Data Boot CD, da systemdateien verseucht waren und beim löschen nichts mehr ging)
Lappi formatiert G-Data drauf und ruhe ist ;-) Habe selbst im Büro auf allen PC's G-Data drauf Mehplatzlizenz und nie wieder probleme gehabt. Neben Virenscanner (2 Engines), wird auch noch eine Mega Firewall installiert, Phishingschutz, Emailschutz, Systemschutz (fragt wenn ein Programmm das system ändern will/darf/soll, etc.. Super Teil!

 

[Wulfman]

Finger weg vom Acrobat -> am besten deinstallieren!

Was ist denn hier die bessere Alternative?

 

[forsaken]

Was ist denn hier die bessere Alternative?

Ich benutze den Foxit Reader (Freeware). Ist schlanker und schneller als der von Adobe und hat für meine Bedürfnisse alles was ich brauche.

Ciao
Forsaken

 

[Wulfman]

Ich benutze den Foxit Reader (Freeware). Ist schlanker und schneller als der von Adobe und hat für meine Bedürfnisse alles was ich brauche.

Ciao
Forsaken

Ok Danke für den Tipp

 

[Arithmos]

Die Lösung ist eigentlich ganz einfach:

Finger weg vom IE -> am besten deinstallieren!

Finger weg vom Acrobat -> am besten deinstallieren!

Für Beides gibt es sehr gute und wie ich finde um längen bessere Alternativen!

Ciao
Forsaken

... volle Zustimmung.

Ich bin da selbst noch ein paar Schritte weiter gegangen und habe Windows schon lange durch Ubuntu ersetzt und FTP habe ich seit 10 Jahren nicht mehr benutzt.

JavaScript wird nur angeschaltet, wenn ich weiss wieso. Ansonsten alles per noscript geblockt.

Nur zum skypen starte ich noch den alten Windows-Rechner ...
(gibt es zwar auch für Linux - aber nicht als OpenSource - deswegen kommt es mir nicht auf den Haupt-Rechner).

Gruß
M.

 

[Wulfman]

... volle Zustimmung.

Ich bin da selbst noch ein paar Schritte weiter gegangen und habe Windows schon lange durch Ubuntu ersetzt und FTP habe ich seit 10 Jahren nicht mehr benutzt.

JavaScript wird nur angeschaltet, wenn ich weiss wieso. Ansonsten alles per noscript geblockt.

Nur zum skypen starte ich noch den alten Windows-Rechner ...
(gibt es zwar auch für Linux - aber nicht als OpenSource - deswegen kommt es mir nicht auf den Haupt-Rechner).

Gruß
M.

Das ist echt Hardcore. Ich habe das noscript mal versucht und konnte mich kaum noch im Web vernünftig bewegen, geschweige denn irgendwelche Transaktionen, etc. machen.

 

[Rheinlaender]

Ich habe das noscript mal versucht und konnte mich kaum noch im Web vernünftig bewegen, geschweige denn irgendwelche Transaktionen, etc. machen.

...oder wie vergrault man Stamm-User mit aufgeblähten Sites, die ausser Effekt-Hascherei keinen wirklichen Mehrwert bieten?

Gruss.