6
Woher kam denn nun dieser Angriff
Hallo zusammen,
Hier in der Firma hat sich vor 2 Wochen ein Programm "antivirus2009-scanner" installiert, als ein Mitarbeiter nichtsahnend im Internet surfte. Gemein war der Button "Soll die Software installiert werden? Ja - Nein"... er hat zwar auf "Nein" geklickt, aber genau das war der Fehler. Die Software hat sich installiert. Habe sie anschließend wieder runtergeworfen, die Reg bereinigt, übriggebliebene Verzeichnisse gelöscht und einen "echten" Virenscanner drüberlaufen lassen. Nichts zu finden.
Ich schreibe gerade einen Bericht dazu, damit andere Mitarbeiter lernen, dass sie eben nicht auf "Nein" oder "Abbrechen" klicken dürfen, sondern direkt hier anrufen. Aber dazu muss ich erstmal verstehen, woher die Malware überhaupt gekommen ist.
Hier ein Auszug aus dem Log:
2008:07:07-08:46:15 method="GET" statuscode="404" url="htttp:www.irgendeineurl.de/favicon.ico" error="" category="1710"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp:www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp:www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1w.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp:www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_wr.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp:www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_rw.gif"
2008:07:07-08:48:57 method="GET" statuscode="302" url="htttp:58.65.234.163/e/adsr.php"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp:activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp:activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp:codecs.microsoft.com/isapi/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp:activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="GET" statuscode="302" url="htttp://antivirus2009-scanner.com/soft.php?aid=014202&d=2&product=XPA"
(ich habe htttp geschrieben, damit man hier nicht ausversehen draufklickt)
Die erste URL ist eine kleine Dorf-Website, nichts aufregendes, gehackt wurde die sicher nicht. Aber vielleicht lag das Problem auch in einer gif-Datei, oder im activex... auf jeden Fall ist mir schleierhaft, was genau die Malware-URL aufgerufen hatte. Was meinen die Experten?
Hier in der Firma hat sich vor 2 Wochen ein Programm "antivirus2009-scanner" installiert, als ein Mitarbeiter nichtsahnend im Internet surfte. Gemein war der Button "Soll die Software installiert werden? Ja - Nein"... er hat zwar auf "Nein" geklickt, aber genau das war der Fehler. Die Software hat sich installiert. Habe sie anschließend wieder runtergeworfen, die Reg bereinigt, übriggebliebene Verzeichnisse gelöscht und einen "echten" Virenscanner drüberlaufen lassen. Nichts zu finden.
Ich schreibe gerade einen Bericht dazu, damit andere Mitarbeiter lernen, dass sie eben nicht auf "Nein" oder "Abbrechen" klicken dürfen, sondern direkt hier anrufen. Aber dazu muss ich erstmal verstehen, woher die Malware überhaupt gekommen ist.
Hier ein Auszug aus dem Log:
2008:07:07-08:46:15 method="GET" statuscode="404" url="htttp:www.irgendeineurl.de/favicon.ico" error="" category="1710"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp:www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp:www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1w.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp:www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_wr.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="htttp:www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_rw.gif"
2008:07:07-08:48:57 method="GET" statuscode="302" url="htttp:58.65.234.163/e/adsr.php"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp:activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp:activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp:codecs.microsoft.com/isapi/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="htttp:activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="GET" statuscode="302" url="htttp://antivirus2009-scanner.com/soft.php?aid=014202&d=2&product=XPA"
(ich habe htttp geschrieben, damit man hier nicht ausversehen draufklickt)
Die erste URL ist eine kleine Dorf-Website, nichts aufregendes, gehackt wurde die sicher nicht. Aber vielleicht lag das Problem auch in einer gif-Datei, oder im activex... auf jeden Fall ist mir schleierhaft, was genau die Malware-URL aufgerufen hatte. Was meinen die Experten?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 93055
Url: https://administrator.de/forum/woher-kam-denn-nun-dieser-angriff-93055.html
Ausgedruckt am: 11.04.2025 um 08:04 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
alle Meldungen mit "Statuscode=404" kannst du erst einmal weglassen, "404" bedeutet "Page not found" (http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html).
Die beiden Meldungen mit "Statuscode=302" sehen mir dagegen verdächtig aus. Jedesmal wird eine PHP-Seite auf den PC übertragen ("GET") und ausgeführt. Was genau in den PHP-Seiten gemacht wird läßt sich allerdings so nicht sagen.
Ich an deiner Stelle würde die Domäne "antivirus2009-scaner.com" und die IP "58.65.234.163" an der Firewall sperren.
mfg
Harald
alle Meldungen mit "Statuscode=404" kannst du erst einmal weglassen, "404" bedeutet "Page not found" (http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html).
Die beiden Meldungen mit "Statuscode=302" sehen mir dagegen verdächtig aus. Jedesmal wird eine PHP-Seite auf den PC übertragen ("GET") und ausgeführt. Was genau in den PHP-Seiten gemacht wird läßt sich allerdings so nicht sagen.
Ich an deiner Stelle würde die Domäne "antivirus2009-scaner.com" und die IP "58.65.234.163" an der Firewall sperren.
mfg
Harald
Hi, von dem Virus habe ich in letzter Zeit auch schon sehr vieles gehört!! Was genau macht er denn? Beziehungsweise wie kriegt man ihn? Kommt einfach eine Meldung installieren, oder wie oder was?
Hab schon beide Adressen gesperrt. Die nackte IP wird von der Startseite der Dorf-Website aufgerufen, ich nehme an, das muss etwas mit dem Counter zutun haben.
Die installierte Software ist meiner Meinung nach kein Virus, sondern eine Fakeware. Sie hat sich im System installiert, auf dem Desktop und rechts unten ein Symbol abgelegt und in der Registry gab es 3 oder 4 Einträge. Die Software scannt anschließend den Rechner durch und meldet am Ende "110 Viren gefunden". Dann soll man natürlich die Software bestellen. Das alles ist aber nur ein Fake. Über die Systemsteuerung ließ sich die Software normal deinstallieren. Ich habe anschliessend aber nochmal mit einer aktuellen Avira Boot-CD nach Viren usw. gescannt, da wurde nichts gefunden.
Hab auch einen Screenshot von dem Ereignis gemacht:
http://www.ditonovia.de/misc/antivirus_2009.jpg
Besonders genial ist der Button unten rechts "continue unprotected"... wer da kein schlechtes Gewissen bekommt *lol*
Die installierte Software ist meiner Meinung nach kein Virus, sondern eine Fakeware. Sie hat sich im System installiert, auf dem Desktop und rechts unten ein Symbol abgelegt und in der Registry gab es 3 oder 4 Einträge. Die Software scannt anschließend den Rechner durch und meldet am Ende "110 Viren gefunden". Dann soll man natürlich die Software bestellen. Das alles ist aber nur ein Fake. Über die Systemsteuerung ließ sich die Software normal deinstallieren. Ich habe anschliessend aber nochmal mit einer aktuellen Avira Boot-CD nach Viren usw. gescannt, da wurde nichts gefunden.
Hab auch einen Screenshot von dem Ereignis gemacht:
http://www.ditonovia.de/misc/antivirus_2009.jpg
Besonders genial ist der Button unten rechts "continue unprotected"... wer da kein schlechtes Gewissen bekommt *lol*
LOL, die werden ja immer dreister mit der Fakeware.....
Vielleicht erscheint die Frage jetzt doof aber...
Wieso konnte die Software installiert werden? Ein normales Benutzerkonto sollte diese Möglichkeit eigentlich nicht bieten...
Wenn allerdings lokale Adminrechte für bestimmte Anwendungen nötig sind, nehme ich alles zurück!
Wieso konnte die Software installiert werden? Ein normales Benutzerkonto sollte diese Möglichkeit eigentlich nicht bieten...
Wenn allerdings lokale Adminrechte für bestimmte Anwendungen nötig sind, nehme ich alles zurück!
Hier ist eine ausfuehrliche und schoene Erklaerung mit kompletten Mapping dazu.
Ob eine Software sich nun installieren kann oder nicht hat nicht immer was mit Benuzterkonteneinstellungen zu tun...
Saludos
gnarff
Ob eine Software sich nun installieren kann oder nicht hat nicht immer was mit Benuzterkonteneinstellungen zu tun...
Saludos
gnarff
