Welcome!

By registering with us, you'll be able to discuss, share and private message with other members of our community.

SignUp Now!

Warnung: Security Tool - domainers.fm Nutzer

sadshade

sadshade

New member
Registriert
07. Juli 2006
Beiträge
96
Reaktionspunkte
0
Hallo,

leider habe ich mir Anfang letzter Woche auf einer Website das
"Security Tool" eingefangen. Konnte den Virus/Maleware zwar
entfernen, jedoch hatte es schon meine FTP-Daten ausgespäht.

Heute musste ich Infizierungen bei diversen Websites feststellen,
auf die ich Zugriff habe. Wir sind dabei die Seiten zu bereinigen.
Leider war auch die domainers.fm betroffen, deshalb schaut bitte
nach, ob sich auf Euren Systemen etwas verändert hat.

Bei mir war es so, dass sich das vermeintliche Hilfsprogramm
eigenständig installiert hat, nachdem ich offenbar die falsche
Website angeklickt habe. Das Programm wirft nach der eigenständigen
Installation diverse Viren- und Trojanerwarnungen aus. Obwohl ich
nach der Installation keine weiteren Maßnahmen des Tools erlaubt habe,
hat es offensichtlich dennoch die FTP-Daten ausgelesen und an die Hacker
weitergeleitet... :bawling:

Sorry,
sadshade
 
so kann vermelden das alle bei mir infizierten seiten bereinigt wurden. es betraf zum glück nicht die domainers.fm. allerdings die domainstammtisch.net. wer also nach dem 14.1. da drauf war, sollte bitte mal in seine ftp accounts schauen ob da dateien (index.*, main.*,home.* und sämtliche .js dateien) nach dem 14. aktualisiert wurden.

gruß
ronny
 
Das Problem hatte ich vor ca. 1 Jahr - überprüft dringend das das Aktuelle Java-Update (daran hat es bei mir gelegen) eingespielt ist und auch Acrobat immer fleissig updaten....

Grüße
soundbites
 
virus

hallo,

verteh ich nicht ganz, welcher virus/trojaner und vor allem wie/wo kann der ftp daten auslesen ???

gruß
 
Ich denke er liest keine Daten aus, sondern er pflanzt einfach einen verschlüsselten Code (redirect) in allen oben beschriebenen dateien, vor/während den hochladens auf den Webserver...
 
Das "Programm" hat sich die gespeicherten Zugangsdaten aus meinem FTP-Programm besorgt und an den Urheber des Scripts gesendet. Die greifen mit den Daten auf den Webspace zu und infizieren dann alle html, php,... Seiten, die sie finden...

Das Ganze ist unabhängig von einem Zugriff meinerseits passiert. Es waren auch Sites betroffen, auf die ich in der letzten Woche nicht per FTP zugegriffen habe.

LG
sadshade
 
Zuletzt bearbeitet:
Sn0w schrieb:
so kann vermelden das alle bei mir infizierten seiten bereinigt wurden. es betraf zum glück nicht die domainers.fm. allerdings die domainstammtisch.net. wer also nach dem 14.1. da drauf war, sollte bitte mal in seine ftp accounts schauen ob da dateien (index.*, main.*,home.* und sämtliche .js dateien) nach dem 14. aktualisiert wurden.

gruß
ronny
Zum Vergrößern anklicken....

Gibts da bitte etwas mehr Infos bezüglich dieses Vorgangs?
Ich habe hier rund 2.000 Dateien, die anscheinend davon betroffen sind.
Woher/wieso/warum - ich weiss es nicht, und behaupte erstmal, dass
es nicht mit dem Besuch der inkriminierten Seite(n)(?) in Zusammenhang
steht.

Wonach suche ich denn explizit auf meinem Arbeits-Rechner?
Mein stets aktuell gehaltenes Antiviren-Programm vermeldt auch nach
mehrstündigem intensiven Suchlauf jedenfalls nichts verdächtiges und
doch spacken plötzlich 70 Domains und deren Plugins herum. Mit einem
mal funktionieren 20 Plugins nicht mehr, beim Aufruf des Admin-Bereiches
werde ich mit einer Nachricht konfrontiert, dass die DB sich geändert habe.
Ausserdem erscheinen im Admin-Bereich 50-70 Fehlermeldungen mitten
im Hauptbildschirm....


Ahoi!
 
Zuletzt bearbeitet:
Das Security Tool hatte sich bei mir auf dem Rechner im Ordner ProgramData installiert. Glaube der Ordnername bestand nur aus Zahlen...

Im Gegensatz zu den teilweise massiven Behinderungen, die im Netz zum Security Tool geschildert wurden, verlief es bei mir relativ harmlos. Nach dem Anklicken der betroffenen Seite ging für einen Moment im Browser nichts mehr. Anschließend bekam ich die Info, dass das Security Tool erfolgreich installiert wurde, das vermeintliche "Sicherheitsprogramm" öffnete sich selbstständig und zeigte mir eine massive Infizierung meines Rechners an. Da mir die ganze Sache allerdings wenig koscher vorkam, habe ich die Bereinigung meines Systems dankend abgelehnt. Den Rechner runter gefahren. Auf einem anderen Rechner im Internet nach einem geeigneten Programm zur Entfernung gesucht, das empfohlene Anti-Malware runtergeladen, auf Stick gespeichert und anschließend auf meinem Problemrechner installiert und ausgeführt. Das Programm hat das Security Tool dann komplett entfernt.

Gestern hab ich dann gesehen, dass einige meiner Websites nun auch ungefragt das Security Tool installieren. Habe mir den Quellcode der Dateien angeschaut und es standen mehrere Passagen drin, die nicht reingehören.

Der Fremdcode sieht so oder so ähnlich aus:
/*GNU GPL*/ try{window.onload = function(){var X08yhffhg7xkxf = ...;document.body.appendChild(X08yhffhg7xkxf);}} catch(e) {}

Bei mir stand beispielsweise statt GNU GPL - LGPL...

Ich hoffe, das hilft weiter. Ansonsten bei Tante G einfach mal nach Security Tool suchen...
 
Zuletzt bearbeitet:
Bitte nochmal Laienverständlich gesammelt:

Wo fängt man sich den Mist ein?
Wie erkennt man, dass man betroffen ist? Muss man danach suchen wenn man sonst keine Auffälligkeiten feststellt?
 
Ich habe mir den Mist beim normalen Surfen eingefangen. Habe bei G recherchiert, eine Seite aufgerufen und damit wars vorbei... System wurde langsam und anschließend bekam ich die Meldung, dass das Security Tool erfolgreich installiert wurde...

Bei mir hat sich das Programm dann andauernd selbstständig gemeldet, also wars nicht möglich, die Infizierung nicht zu bemerken. Ansonsten einfach in den angesprochenen Ordner ProgramData schauen, ob dort ein auffälliger Ordner existiert.
 
Die Lösung ist eigentlich ganz einfach:

Finger weg vom IE -> am besten deinstallieren!

Finger weg vom Acrobat -> am besten deinstallieren!

Für Beides gibt es sehr gute und wie ich finde um längen bessere Alternativen!

Ciao
Forsaken
 
sadshade schrieb:
Ich habe mir den Mist beim normalen Surfen eingefangen.
Zum Vergrößern anklicken....

Deshalb brauchst du einen vernünftigen Virenscanner, keinen kostenlosen freeav.
Meine Empfehlung "G-Data". Hatte auf meinen Laptop mcafee vorinstalliert und auch die neuesten updates runtergeladen, trotzdem habe ich mir einen virus eingefangen (mcafee hat nicht mal gemeckert), der mich beim surfen immer auf andere seiten weitergeleitet hatte. Hast nicht mehr wegbekommen, die scheisse (selbst nicht mit der G-Data Boot CD, da systemdateien verseucht waren und beim löschen nichts mehr ging)
Lappi formatiert G-Data drauf und ruhe ist ;-) Habe selbst im Büro auf allen PC's G-Data drauf Mehplatzlizenz und nie wieder probleme gehabt. Neben Virenscanner (2 Engines), wird auch noch eine Mega Firewall installiert, Phishingschutz, Emailschutz, Systemschutz (fragt wenn ein Programmm das system ändern will/darf/soll, etc.. Super Teil!
 
forsaken schrieb:
Die Lösung ist eigentlich ganz einfach:

Finger weg vom IE -> am besten deinstallieren!

Finger weg vom Acrobat -> am besten deinstallieren!

Für Beides gibt es sehr gute und wie ich finde um längen bessere Alternativen!

Ciao
Forsaken
Zum Vergrößern anklicken....

... volle Zustimmung.

Ich bin da selbst noch ein paar Schritte weiter gegangen und habe Windows schon lange durch Ubuntu ersetzt und FTP habe ich seit 10 Jahren nicht mehr benutzt.

JavaScript wird nur angeschaltet, wenn ich weiss wieso. Ansonsten alles per noscript geblockt.

Nur zum skypen starte ich noch den alten Windows-Rechner ...
(gibt es zwar auch für Linux - aber nicht als OpenSource - deswegen kommt es mir nicht auf den Haupt-Rechner).

Gruß
M.
 
Arithmos schrieb:
... volle Zustimmung.

Ich bin da selbst noch ein paar Schritte weiter gegangen und habe Windows schon lange durch Ubuntu ersetzt und FTP habe ich seit 10 Jahren nicht mehr benutzt.

JavaScript wird nur angeschaltet, wenn ich weiss wieso. Ansonsten alles per noscript geblockt.

Nur zum skypen starte ich noch den alten Windows-Rechner ...
(gibt es zwar auch für Linux - aber nicht als OpenSource - deswegen kommt es mir nicht auf den Haupt-Rechner).

Gruß
M.
Zum Vergrößern anklicken....


Das ist echt Hardcore. Ich habe das noscript mal versucht und konnte mich kaum noch im Web vernünftig bewegen, geschweige denn irgendwelche Transaktionen, etc. machen.
 
Wulfman schrieb:
Ich habe das noscript mal versucht und konnte mich kaum noch im Web vernünftig bewegen, geschweige denn irgendwelche Transaktionen, etc. machen.
Zum Vergrößern anklicken....

...oder wie vergrault man Stamm-User mit aufgeblähten Sites, die ausser Effekt-Hascherei keinen wirklichen Mehrwert bieten? ;)

Gruss.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

McFelix
Malware-Warnung von Google erhalten
Antworten
4
Aufrufe
2K
shoveit
shoveit
Wettermann
IHK-Warnung vor "Domainern"
Antworten
3
Aufrufe
883
VegasII
V
McFelix
Fremdprodukte im eigenen Shop verkaufen... (Warnung: Newbie-Fragen)
Antworten
7
Aufrufe
3K
zenit1
zenit1
AlexS
Suche unterbeschäftigtes Grafik-Talent! Warnung: Budget ist schmal!
Antworten
0
Aufrufe
825
AlexS
AlexS
M
Warnung: Fakemails
Antworten
3
Aufrufe
1K
domaintradecenter
domaintradecenter
Zurück
Oben