edvman27
Goto Top

Virus vermutlich durch den Besuch der Qype-Homepage

Hallo zusammen,

ich habe nun eben einen Anruf von einen Kunden bekommen, den wir ab demnächst betreuen sollen, dass er einen Virus auf seinem PC hat. Der typische Trojaner mit 50Euro zahlen, als GEMA-Variante und inkl. Dateiverschlüsselung.

Ich frage mich nur wie?
Ich habe die Anlage bis jetzt nur einmal gesehen und eine Kurzdoku erstellt, da sah aber alles prima aus.
Windows 7 Prof SP1 (alle Updates), FireFox (aktuellste Version mit "adblock plus") ESET Antivirus, Flash und Java aktuell.
Das Netzwerk wird durch eine "richtige" Firewall geschützt von der ich allerdings nicht die Konfiguration kenne.

Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.
Das ist natürlich nur dass was sie gesagt hat, aber die meisten Viren bekommen man nun auf Seiten mit männlicher Ausrichtung.

Weiß Jemand hierzu etwas? Besonders in Hinblick auf Qype?

Danke

Stefan

Content-ID: 187306

Url: https://administrator.de/contentid/187306

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

NetWolf
NetWolf 01.07.2012 aktualisiert um 19:28:09 Uhr
Goto Top
Moin Moin,

also erst mal die wichtigste Sache zuerst: Netzwerkkabel aus dem PC ziehen, damit nicht noch andere PCs im Netzwerk infiziert werden!
Dann im abgesicherten Modus starten und den Virus beseitigen. (Anleitungen gibt es reichlich)

/Edit
Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.
und die Erde ist eine Scheibe face-smile

Das ist natürlich nur dass was sie gesagt hat, aber die meisten Viren bekommen man nun auf Seiten mit männlicher Ausrichtung.
Hallo? Wie bist du denn drauf? Wie kommst du denn auf so eine uralte Weisheit? Auf Kinderseiten sind heutzutage mehr Viren und Trojaner verbreitet als auf irgendwelchen SEX-Seiten. (die verdienen Geld mit ihren Seiten und können es sich gar nicht leiten Viren zu verbreiten)

Der "GEMA" Virus/Trojaner wird i.d.R. über Email verbreitet. Viele Firmen empfangen noch HTML-Emails und wundern sich dann über solche Viren/Trojaner.

btw die Funktion einer Firewall ist es die ein- bzw. ausgehenden Ports zuzulassen. Sie ist kein Schutz gegen Viren/Trojaner. Dieses Gerücht ist damals aufgekommen als ein Virus den Port 135 genutzt hat und es hält sich hartnäckig.

/Edit
Du solltest deine Überschrift ändern, zumindest mit einem Fragezeichen versehen! So könnte man es als Behauptung verstehen und das könnte teure Konsequenzen haben!
/Edit

Grüße aus Rostock
Wolfgang
(Netwolf)
Kaioshin
Kaioshin 01.07.2012 um 23:56:40 Uhr
Goto Top
Hallo Stefan

Zitat von @EDVMan27:
Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.

Vor kurzem hatte ich einen ähnlichen Fall. Der Kunde behauptete fest dass er den Computer in den letzten Tagen nicht genutzt hätte. Nach dem Überprüfen der Ereignisanzeige, stellte ich schnell fest dass der Computer in den letzten Tagen genutzt wurde. Der Browserverlauf zeigte auch die vermutliche Quelle für den Schädling.

Zitat von @EDVMan27:
Ich frage mich nur wie?

Falls der Netzwerkverkehr aufgezeichnet wird, kannst du natürlich die letzten Verbindungen (kurz vor der Infizierung) analysieren. Auch den Browserverlauf kannst du anschauen (wie es in meinem Fall möglich war). Natürlich ist das Ganze nur mit Einverständnis des Kunden machbar.


Gruss,
Kaioshin
Lochkartenstanzer
Lochkartenstanzer 02.07.2012 um 09:56:23 Uhr
Goto Top
Zitat von @EDVMan27:

Hallo,

Ich frage mich nur wie?

Nach dem Motto. "Das Auto hat doch Airbags, ABs, ASP, Navi, Bodenrader, Abstandswarner, etc." und trotzdem ist das Auto gegen den Baum gefahren."

was veregssen wird, ist den fahrer, äh, ich meine den user zu schulen, was trotz allem immer noch passieren kann.


Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.

Das muß überhaupt nichts mit Qype zu tun haben.

Das ist natürlich nur dass was sie gesagt hat, aber die meisten Viren bekommen man nun auf Seiten mit männlicher
Ausrichtung.

Wie kommst Du denn auf diese hohe Ross? Die Pornoseiten habe starke finanzielle Interessen und sorgen sehr stringent dafür daß Ihre Seiten sauber bleiben. Man bekommt sowas, wenn es überhaupt über den Browser kommt, meist auf "seriösen Seiten",oft z.B. durch präparierte Werbung, die von anderen Anbi8etern geladen wird.

Weiß Jemand hierzu etwas? Besonders in Hinblick auf Qype?

deren Webseite ist werberverseucht. face-smile

Von daher:

  • System frisch aufsetzen,
  • aktuelle patches einspielen,
  • dafür sorgen, daß der patchstand aktuell ist.

und ganz wichtig

  • User schulen

lks
Ravers
Ravers 02.07.2012 um 11:03:43 Uhr
Goto Top
Moin,

letztens rief mich ein Bekannter an, der auch von dem Virus betroffen war.
Habe auch ihm erzählt, er solle seine System auf dem aktuellen Stand halten. - Frage: wo warste denn?
War ne eigentlich ganz seriöse Seite, bin mit meinem System auf die gleiche Seite gegangen (und der Win7-Rechner war aktuell gepatched, Virenscanner "nur" Avira, TeaTimer) und schwupps hatte ich ihn auch.

Soll heißen: gepatchde Systeme geben einen die größtmögliche Sicherheit, aber auch die Systeme können dennoch erfolgreich angegriffen werden.
Daher ist Datensicherung auch unumgänglich.

Will auch meinen Vorrednern recht geben, die Infektionen kommen idR. von seriösen Seiten.

greetz
ravers
Kaioshin
Kaioshin 02.07.2012 um 21:25:15 Uhr
Goto Top
Hallo Leute face-smile

Zitat von @Ravers:
[...] War ne eigentlich ganz seriöse Seite, bin mit meinem System auf die gleiche Seite gegangen (und der Win7-Rechner war > aktuell gepatched, Virenscanner "nur" Avira, TeaTimer) und schwupps hatte ich ihn auch.

Soll heißen: gepatchde Systeme geben einen die größtmögliche Sicherheit, aber auch die Systeme können dennoch erfolgreich > angegriffen werden. [...]

Im folgenden Wikipedia-Artikel sind einige Tipps in Bezug auf Schutz durch diese Infizierungsmethode.
http://de.wikipedia.org/wiki/Drive-by-Download


Gruss,
Kaioshin
Lochkartenstanzer
Lochkartenstanzer 02.07.2012 um 21:48:07 Uhr
Goto Top
Moin,

zu Kaioshins Hinweis ist noch zu ergänzen, daß die Besseren dieser Malwareschleudern auch so gebaut sind, daß sie nicht einfach alle infizieren, die vorbeikommen, sondern nur einen geringen Prozentsatz und manchmal sogar abhängig vom IP-bereich, aus dem man drauf zugreift. das evrhindert, daß man zu schnell draufkommt, wo man sich das zeug eingefangen hat und insbesondere die Admins nicht mekren, daß da etwas fault ist.

lks
EmmaPeel
EmmaPeel 03.07.2012 aktualisiert um 10:18:07 Uhr
Goto Top
Hallo Stefan, ich habe letzten Samstag (also 30. Juni) exakt das Selbe erlebt. Ich habe auf der Qype-Website mehrere Seiten aufgerufen (ich bin dort angemeldeter Nutzer) und beim 3. Seitenwechsel innerhalb von Qype ging das GEMA-Virus-Fenster auf. Ich nutze Windows 7, IE9 und Antivir war auf dem neuesten Stand. Kein Virenscanner (im abgesicherten Modus) war in der Lage, den Virus zu identifizieren und auch diverse Tools versagten. Ich habe mich dann über die Systemwiederherstellung und Rücksetzung auf einen älteren Wiederherstellungspunkt vorerst gerettet. Allerdings ist das erstmal nur eine Notlösung, da der Virus vermutlich immer noch auf dem Rechner ist. Ich habe Qype per Mail informiert, aber keine Antwort erhalten. Gruß Edith