Dieses Forum verwendet Cookies

Farfalla · 04.01.2014, 13:17

Danke für die hilfreichen Infos hier ... bekomme seit gestern diese Virenmeldung über G Data. Werde das mit der Ausnahme auch mal testen, aber generell wäre es sicher hilfreich, wenn der Hausmeister hier mal sucht, woran es liegen könnte Pfeifen

Robert2013 · 04.01.2014, 16:07

Nachdem mir das keine Ruhe lässt hier, habe ich das mal näher untersucht!

http://wepawet.iseclab.org/view.php?hash...08&type=js

Ich bin gerade leider nicht an meinem PC, aber das:

<script src='hxxp://seris . biz/ 8917b586.js?cp=ads.mini2.info'></script>

sieht nicht gut aus...man kann leider nicht immer auf die Zuverlässigkeit der Online-Scanner setzen Traurig

Es gibt Hinweise, dass der Server aus Hongkong (seris.biz) mit der IP-Adresse 103.31.186.40 ein Redirector für ein Exploit-Kit ist!!

Nun stellt sich die Frage, wer hat dieses Script hier eingebettet? Es sollte sich dringend mal ein Admin die Logs anschauen und überprüfen, ob mini2.info noch ihm gehört...?! Lol

Also erstmal SEHR vorsichtig surfen!!

Update:

Das Exploit-Kit heißt DotkaChef. Für alle, die nicht ganz so in der Materie stecken: http://www.viruslist.com/de/analysis?pubid=200883728 Zwinkern

Die Admins sind informiert und analysieren die Lage! Allen, die den Werbe-Bereich (ads.mini2.info) zu den Ausnahmen hinzugefügt haben, empfehle ich das wieder rückgängig zu machen um den Angreifern das Infizieren des eigenen Rechners nicht auch noch zu vereinfachen!

Ich weiß nicht, ob ihr das mal testen wollt, aber wenn ihr Firefox nutzt, könnt ihr das Add-On NoScript installieren um solche J a v a S c r i p t -Attacken zu blockieren...allerdings behindert das auf mini2.info manchmal die Nutzung Traurig

Stay safe! Top

Robert

saschahstm · 05.01.2014, 14:19

Seit gestern Abend bekomme ich über Avast keine Meldung mehr. Scheint nun bereinigt zu sein ... Top

Harri · 05.01.2014, 16:10

D.h. alle, die das Skript haben laufen lassen, sind nu infiziert? Head Scratch

Robert2013 · 05.01.2014, 20:15

Nein so würde ich das nicht sagen! Es bestand das Risiko einer Infektion, wenn man veraltete Software installiert hatte! Zudem hätte das AntiVirus-Programm bei der Verhaltenserkennung der Malware versagen müssen.

Achtet in den nächsten Tagen ganz besonders auf etwaige ungewöhnliche Aktivitäten und macht eine vollständige System-Überprüfung mit eurer AntiVirus-Software Smile :)

Zudem verzichtet auf Online-Banking in den nächsten Tagen! Die Malware-Analysten benötigen meist ein paar Tage um für neue Bedrohungen Signaturen zu erstellen..

Harri · 05.01.2014, 21:23

Robert2013 schrieb:http://wepawet.iseclab.org/view.php?hash...08&type=js

Das ganz am Anfang sieht doch verdächtig nach verstecktem Code aus. Wie hier beschrieben http://www.kahusecurity.com/2013/analyzi...loit-pack/

Dort ist dann auch die CVE-2013-1493 Nr. zu finden.
Die finde ich bei Avast http://www.avast.com/de-de/virus-update-history am 17.12.13 und in der Liste http://www.avast.com/de-de/exploit-protection.php

D.h. mit Avast sollte man geschützt sein.

List man ein Bißchen weiter, sind anscheinend Java Versionen bis Java SE 7 Update 17 betroffen.

Falls man nicht weiß, ob die AV Software hilft, kann man nach der Java Version schauen und ggfs. updaten.

Sollte man betroffen sein, empfehlen sich die Maßnahmen wie oben beschrieben und ich würde schauen, eine AV Software zu installieren, die eine solche Infektion erkennen und beseitigen kann.

BelBlu · 06.01.2014, 17:46

als Laie ist das echt schwierig zu Durchblicken Confused

hab das nun mal so gemacht wie beschrieben, das Virenprogramm hat ziemlich viele Bedrohungen gefunden eek!

und wie bei Ghostbusters in irgendeinen Container verschoben Ist mir suspekt

die Fehlermeldung kommt nun auch nicht mehr. Hoffe das nichts schlimmeres dabei rauskommt, weil Online Banking hat ich in der Zwischenzeit natürlich mal gemacht eek!

Fahrspass · 07.01.2014, 07:57

Die Chinesen waren es, das Problem ist behoben ... Meld!

Login
Benutzername:
Passwort:	Passwort vergessen?
	Merken