13
Kaspersky schlägt an
Web Antivirus - Der Link wurde in einer Datenbank gefunden
Hallo
Ich hoffe das hier wer Licht ins Dunkel bringen kann. Mein Kumpel hat eine Homepage in Auftrag gegeben. Diese sieht ja ganz hübsch aus und is so gut wie fertig.. aber mein Kaspersky spricht darauf mit einer Warung an..
"clk.php Verboten: http://www.cittadinolibero.it/clk.php (mit der Datenbank für schädliche Webadressen untersuchen) 25.02.2013 19:02:18 http://www.cittadinolibero.it/
Grund: Der Link wurde in einer Datenbank gefunden
Programe: Firefox"
..diese Meldung kommt aber auch nicht bei jedem Klick auf der Page sondern nur bei Eingangsportal und der darauf folgenden Mainpage. Und das finde ich beunruhigend.
Es handelt sich um eine WEB Antivirus Meldung. Da ich zur Zeit nur eine Demo des Kaspersky nutze trau ich aber dem ganzen auch ned so wirklich. Er bekommt nix gemeldet und sonst hat auch keiner was gemeldet bekommen.. Kann ja gut sein das die mich mit ner Fake Meldung zum Kauf bewegen wollen. Generell bin ich von Kaspersky endteuscht das man so wenig Hintergrund Infos genannt bekommt zu dem was da vorfiel.
Wie würdet ihr die Situation auf den ersten Blick einschätzen - muss sich mein Kumpel Gedanken machen das seine neue Homepage und Aushängeschild seiner kleinen und noch in der Gründungsphase befindlichen Firma (für deren Programmierung er cash bezahlt hat) möglicherweise gefährlich sein könnte? Da ich ihm nicht Schaden will verzichte ich mal den Link hier frei zu posten..
Hat wer Erfahrung mit solchen Meldungen ?? Wie ernst sollte man das nehmen?
Hallo
Ich hoffe das hier wer Licht ins Dunkel bringen kann. Mein Kumpel hat eine Homepage in Auftrag gegeben. Diese sieht ja ganz hübsch aus und is so gut wie fertig.. aber mein Kaspersky spricht darauf mit einer Warung an..
"clk.php Verboten: http://www.cittadinolibero.it/clk.php (mit der Datenbank für schädliche Webadressen untersuchen) 25.02.2013 19:02:18 http://www.cittadinolibero.it/
Grund: Der Link wurde in einer Datenbank gefunden
Programe: Firefox"
..diese Meldung kommt aber auch nicht bei jedem Klick auf der Page sondern nur bei Eingangsportal und der darauf folgenden Mainpage. Und das finde ich beunruhigend.
Es handelt sich um eine WEB Antivirus Meldung. Da ich zur Zeit nur eine Demo des Kaspersky nutze trau ich aber dem ganzen auch ned so wirklich. Er bekommt nix gemeldet und sonst hat auch keiner was gemeldet bekommen.. Kann ja gut sein das die mich mit ner Fake Meldung zum Kauf bewegen wollen. Generell bin ich von Kaspersky endteuscht das man so wenig Hintergrund Infos genannt bekommt zu dem was da vorfiel.
Wie würdet ihr die Situation auf den ersten Blick einschätzen - muss sich mein Kumpel Gedanken machen das seine neue Homepage und Aushängeschild seiner kleinen und noch in der Gründungsphase befindlichen Firma (für deren Programmierung er cash bezahlt hat) möglicherweise gefährlich sein könnte? Da ich ihm nicht Schaden will verzichte ich mal den Link hier frei zu posten..
Hat wer Erfahrung mit solchen Meldungen ?? Wie ernst sollte man das nehmen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 202353
Url: https://administrator.de/contentid/202353
Ausgedruckt am: 24.11.2024 um 23:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
Eventuell versuchst Du ja mal, mit einer Büchse, die eine anderen Malwareschutz hat, auf die page zuzugreifen, bevor Du uns hier mit irgendwelchem Tünnef beträufelst?
Na, Du hast wenig bis keine-ahnung und solltest den Webdesigner fragen, der die page erstellt und hochgeladen hat. Im Zweifel kann man auch beim Hoster mal leise vorfühlen, ob da was auffällig ist. Auch ein Blick in den Quelltext der Seite kann schon den einen oder anderen Hinweis bringen. And so on, and so on ...
LG, Thomas
Generell bin ich von Kaspersky endteuscht
das ist für diese Woche mein Lieblingslegasthenieprodukt Eventuell versuchst Du ja mal, mit einer Büchse, die eine anderen Malwareschutz hat, auf die page zuzugreifen, bevor Du uns hier mit irgendwelchem Tünnef beträufelst?
Wie würdet ihr die Situation auf den ersten Blick einschätzen
Na, Du hast wenig bis keine-ahnung und solltest den Webdesigner fragen, der die page erstellt und hochgeladen hat. Im Zweifel kann man auch beim Hoster mal leise vorfühlen, ob da was auffällig ist. Auch ein Blick in den Quelltext der Seite kann schon den einen oder anderen Hinweis bringen. And so on, and so on ...
LG, Thomas
Hallo ,
schick mir mal den Originallink via Benachrichtigung.
Dann schau ich mir das mal an.
Gruss
schick mir mal den Originallink via Benachrichtigung.
Dann schau ich mir das mal an.
Gruss
Es handelt sich um eine WEB Antivirus Meldung. Da ich zur Zeit nur eine Demo des Kaspersky nutze trau ich aber dem ganzen auch ned
so wirklich. Er bekommt nix gemeldet und sonst hat auch keiner was gemeldet bekommen.. Kann ja gut sein das die mich mit ner Fake
Meldung zum Kauf bewegen wollen.
... so ein Blödsinn. Alle Produkte können auch mal false positives haben. Auch Kaspersky hat Logging Funktionen.so wirklich. Er bekommt nix gemeldet und sonst hat auch keiner was gemeldet bekommen.. Kann ja gut sein das die mich mit ner Fake
Meldung zum Kauf bewegen wollen.
Ansonsten mal hiermit durchckecken:
https://www.virustotal.com/de/#url
Gruß Daniel
Hallo danielfr,
Virus total sagt dann aber nur das kein Virus/Trojaner erkannt wurde.
Das heisst aber nicht das es nicht einer ist !!
z.B hatten wir hier eine Mitarbeiterin die einen Downloadlink fuer eine Datei bekommen hatte.
Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.
Datei : Invoice_fdp.exe
Jetzt sieht es schon besser aus.
25 von 46 .....
Gruss
Antivirus Ergebnis Aktualisierung
Agnitum Trojan.Agent!odWkOERdnpQ 20130225
AhnLab-V3 - 20130225
AntiVir BDS/DarkKomet.ywh 20130225
Antiy-AVL - 20130225
Avast Win32:Malware-gen 20130225
AVG BackDoor.Generic16.BMWA 20130225
BitDefender Trojan.Generic.KDZ.7439 20130225
ByteHero - 20130221
CAT-QuickHeal - 20130225
ClamAV - 20130225
Commtouch - 20130225
Comodo - 20130225
DrWeb Trojan.DownLoader6.24432 20130225
Emsisoft - 20130225
eSafe - 20130211
ESET-NOD32 Win32/Fynloski.AA 20130225
F-Prot - 20130225
F-Secure Trojan.Generic.KDZ.7439 20130225
Fortinet W32/DarkKomet.YWH!tr.bdr 20130225
GData Trojan.Generic.KDZ.7439 20130225
Ikarus Trojan.SuspectCRC 20130225
Jiangmin - 20130225
K7AntiVirus - 20130225
Kaspersky Backdoor.Win32.DarkKomet.ywh 20130225
Kingsoft - 20130225
Malwarebytes - 20130225
McAfee Artemis!E881FA62773D 20130225
McAfee-GW-Edition Artemis!E881FA62773D 20130225
Microsoft Trojan:Win32/Ceatrg.B 20130225
MicroWorld-eScan Trojan.Generic.KDZ.7439 20130225
NANO-Antivirus - 20130225
Norman Suspicious_Gen4.CHWUR 20130225
nProtect Trojan/W32.Agent.647680.BO 20130225
Panda Trj/Dtcontx.B 20130225
PCTools - 20130225
Rising - 20130225
Sophos Troj/MSIL-BD 20130225
SUPERAntiSpyware - 20130225
Symantec WS.Reputation.1 20130225
TheHacker - 20130224
TotalDefense - 20130225
TrendMicro TROJ_GEN.RCBCDBF 20130225
TrendMicro-HouseCall TROJ_GEN.RCBCDBF 20130225
VBA32 Trojan.Agent.wuhc 20130225
VIPRE Trojan.Win32.Generic!BT 20130225
ViRobot
Virus total sagt dann aber nur das kein Virus/Trojaner erkannt wurde.
Das heisst aber nicht das es nicht einer ist !!
z.B hatten wir hier eine Mitarbeiterin die einen Downloadlink fuer eine Datei bekommen hatte.
Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.
Datei : Invoice_fdp.exe
Jetzt sieht es schon besser aus.
25 von 46 .....
Gruss
Antivirus Ergebnis Aktualisierung
Agnitum Trojan.Agent!odWkOERdnpQ 20130225
AhnLab-V3 - 20130225
AntiVir BDS/DarkKomet.ywh 20130225
Antiy-AVL - 20130225
Avast Win32:Malware-gen 20130225
AVG BackDoor.Generic16.BMWA 20130225
BitDefender Trojan.Generic.KDZ.7439 20130225
ByteHero - 20130221
CAT-QuickHeal - 20130225
ClamAV - 20130225
Commtouch - 20130225
Comodo - 20130225
DrWeb Trojan.DownLoader6.24432 20130225
Emsisoft - 20130225
eSafe - 20130211
ESET-NOD32 Win32/Fynloski.AA 20130225
F-Prot - 20130225
F-Secure Trojan.Generic.KDZ.7439 20130225
Fortinet W32/DarkKomet.YWH!tr.bdr 20130225
GData Trojan.Generic.KDZ.7439 20130225
Ikarus Trojan.SuspectCRC 20130225
Jiangmin - 20130225
K7AntiVirus - 20130225
Kaspersky Backdoor.Win32.DarkKomet.ywh 20130225
Kingsoft - 20130225
Malwarebytes - 20130225
McAfee Artemis!E881FA62773D 20130225
McAfee-GW-Edition Artemis!E881FA62773D 20130225
Microsoft Trojan:Win32/Ceatrg.B 20130225
MicroWorld-eScan Trojan.Generic.KDZ.7439 20130225
NANO-Antivirus - 20130225
Norman Suspicious_Gen4.CHWUR 20130225
nProtect Trojan/W32.Agent.647680.BO 20130225
Panda Trj/Dtcontx.B 20130225
PCTools - 20130225
Rising - 20130225
Sophos Troj/MSIL-BD 20130225
SUPERAntiSpyware - 20130225
Symantec WS.Reputation.1 20130225
TheHacker - 20130224
TotalDefense - 20130225
TrendMicro TROJ_GEN.RCBCDBF 20130225
TrendMicro-HouseCall TROJ_GEN.RCBCDBF 20130225
VBA32 Trojan.Agent.wuhc 20130225
VIPRE Trojan.Win32.Generic!BT 20130225
ViRobot
Hoi,
Gruß Daniel
Virus total sagt dann aber nur das kein Virus/Trojaner erkannt wurde.
Das heisst aber nicht das es nicht einer ist !!
Das ist richtig.Das heisst aber nicht das es nicht einer ist !!
z.B hatten wir hier eine Mitarbeiterin die einen Downloadlink fuer eine Datei bekommen hatte.
Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.
Wäre an der Stelle interessant, ob die Sophos AV Software die Datei auch schon erkannt hätte... Bei einem genauen Blick z.B. mit Wireshark erkennt man schon recht schnell, ob ein Trojaner nach Hause telefoniert (und die werden wohl noch etwas mehr auf Lager haben), auch wenn AV SW den Trojaner eben nicht erkennt.Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.
Gruß Daniel
Hallo ,
Sophos haben wir hier als Antivirenloesung im Einsatz. Die Datei wurde nicht von Ihnen erkannt.
Wireshark haette dazu auch nichts sagen koennen da nicht klar wohin und wie telefoniert wird.
Meine eigene Analyse wird noch folgen,hab den Schmutz auf nen Stick gezogen.
Was nicht einfach war da Sophos die exe, in die Quarantäne schickt. (Selbst aufn Mac )
Wird dann mal meine Analyseversuche posten.
Auf Winbloedmoehren ist Process Explorer, von Mark Russinovich Microsoft Tech, ein sehr gutes Hilfsmittel
was unbekannte Prozesse/Threads angeht.
http://technet.microsoft.com/de-de/sysinternals/bb545021.aspx
http://www.youtube.com/watch?v=Wuy_Pm3KaV8 < absolut geil
Gruss
Nachtrag...
Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....
Sophos haben wir hier als Antivirenloesung im Einsatz. Die Datei wurde nicht von Ihnen erkannt.
Wireshark haette dazu auch nichts sagen koennen da nicht klar wohin und wie telefoniert wird.
Meine eigene Analyse wird noch folgen,hab den Schmutz auf nen Stick gezogen.
Was nicht einfach war da Sophos die exe, in die Quarantäne schickt. (Selbst aufn Mac
)Wird dann mal meine Analyseversuche posten.
Auf Winbloedmoehren ist Process Explorer, von Mark Russinovich Microsoft Tech, ein sehr gutes Hilfsmittel
was unbekannte Prozesse/Threads angeht.
http://technet.microsoft.com/de-de/sysinternals/bb545021.aspx
http://www.youtube.com/watch?v=Wuy_Pm3KaV8 < absolut geil
Gruss
Nachtrag...
Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....
Auf Winbloedmoehren ist Process Explorer, von Mark Russinovich Microsoft Tech, ein sehr gutes Hilfsmittel
was unbekannte Prozesse/Threads angeht.
http://technet.microsoft.com/de-de/sysinternals/bb545021.aspx
http://www.youtube.com/watch?v=Wuy_Pm3KaV8 < absolut geil
... danke, das gucke ich mir mal an.was unbekannte Prozesse/Threads angeht.
http://technet.microsoft.com/de-de/sysinternals/bb545021.aspx
http://www.youtube.com/watch?v=Wuy_Pm3KaV8 < absolut geil
Nachtrag...
Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....
Das ist dann aber ziemlich blöde vom Entwickler, da Virus Total Daten an die AV Hersteller usw. weitergibt...Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....
Zitat von @Alchimedes:
Nachtrag...
Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....
Nachtrag...
Virus Total wird auch gerne genutzt um "seinen Virus/Trojaner" zu testen....
Aber nur von den Skript-Kiddies. Die Profis benöigen Virustotal oder Jotti.org nicht, weil die genug Geld haben, sich die Lizenzen aller AV-Programme leisten zu können.
lks
Zitat von @Alchimedes:
Virus total sagt dann aber nur das kein Virus/Trojaner erkannt wurde.
Das heisst aber nicht das es nicht einer ist !!
z.B hatten wir hier eine Mitarbeiterin die einen Downloadlink fuer eine Datei bekommen hatte.
Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.
Virus total sagt dann aber nur das kein Virus/Trojaner erkannt wurde.
Das heisst aber nicht das es nicht einer ist !!
z.B hatten wir hier eine Mitarbeiterin die einen Downloadlink fuer eine Datei bekommen hatte.
Die hat sich dann gemeldet weil Ihr das nicht koscher vorkam. Hab die Software bei virustotal
hoch geladen, wurde nicht als Trojaner erkannt, das war vor 3 Wochen,den Dreck dann an SophosLabs geschickt,
10 min Spaeter die Bestätigung das es sich um einen Trojaner handelte.
Das ist auch nicht verwunderlich.
Die (Malware-)Profis testen Ihre Malware u.a. auch gegen aktuelle Viresnscanner aber nicht bei Jotti oder virustotal.
Daher wird die Malware in den ersten Tagen kaum erkannt. Und sie hat dann mehrere Stunden Tage Zeit Ihre Arbeit zu tun bis sie erkannt wird. Die c't hatte übrigens in Ihrer letzten Ausgabe (5/2013) auch einen Artikel dazu.
Die sinnvollste Vorgehensweise ist daher normalerweise eine Datei ersmal eine Woche liegenzulassen, dann nochmal durch den Virenscanner zu jagen und dann erst zu öffnen.
lks
Nachtrag: Wie man an "Roter Oktober" sieht, ist "gute" Malware auch jahrelang nicht erkennbar.
Wow danke erstmal - bin gestern recht früh eingepennt.. ### Wetter. Da ich den Link im Geschäft nicht parat habe, schick ich ihn dir per PM sobald ich daheim bin. Die Seite is noch so neu, hab den Link grade ned auswendig im Kopf 
Hallo LKS ,
hiermit http://www.heise.de/newsticker/meldung/Stuxnet-0-5-Der-Sabotage-Wurm-is ... hat sich ja Deine Vermutung
nicht bestaetigt.
Gruss
hiermit http://www.heise.de/newsticker/meldung/Stuxnet-0-5-Der-Sabotage-Wurm-is ... hat sich ja Deine Vermutung
Die (Malware-)Profis testen Ihre Malware u.a. auch gegen aktuelle Viresnscanner aber nicht bei Jotti oder
virustotal.
virustotal.
nicht bestaetigt.
Gruss
Zitat von @Alchimedes:
Hallo LKS ,
hiermit http://www.heise.de/newsticker/meldung/Stuxnet-0-5-Der-Sabotage-Wurm-is ... hat sich ja Deine
Vermutung
> Die (Malware-)Profis testen Ihre Malware u.a. auch gegen aktuelle Viresnscanner aber nicht bei Jotti oder
> virustotal.
nicht bestaetigt.
Hallo LKS ,
hiermit http://www.heise.de/newsticker/meldung/Stuxnet-0-5-Der-Sabotage-Wurm-is ... hat sich ja Deine
Vermutung
> Die (Malware-)Profis testen Ihre Malware u.a. auch gegen aktuelle Viresnscanner aber nicht bei Jotti oder
> virustotal.
nicht bestaetigt.
Ausnahmen bestätigen die Regel.
Die Betaversionen wurde zwar bei irustotal eingekippt, aber spätere Versionen sind da nicht mehr aufgetaucht. Warum wohl? Und selbst nach dem testen ist das zeug offensichtlich jahrelang nicht erkannt worden.
lks
Also - Lösung: Es war tatsächlich infiziert da jemand die Webseite gehackt hatte. (..so die Aussage des verwaltenden Admins zu meinem Kumpel). Jemand hatte dessen Webserver geknackt..
Kam echt bis jetzt auch ned zum Antworten sorry
Danke für eure Hilfe
Kam echt bis jetzt auch ned zum Antworten sorry
Danke für eure Hilfe
