Autor Thema: Webseiten als Virenschleudern ...  (Gelesen 4614 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Webseiten als Virenschleudern ...
« am: 14 April, 2005, 15:50 »
Internet-Tagebücher, so genannte Weblogs, liegen im Trend. Die Neugier der Internetsurfer, sich über das Leben anderer Nutzer zu informieren, birgt aber auch Gefahren.
      
Das US-Sicherheitsunternehmen Websense warnt davor, dass immer mehr Hacker auch darauf setzen, Viren, Würmer und Trojaner über Weblogs zu verbreiten. Im Rahmen einer Untersuchung seien mehrere Hundert Internetseiten ermittelt worden, auf denen virtuelle Schädlinge hinter Weblogs versteckt waren.

Geschickte Vorgehensweise

Die Vorgehensweise der Täter dabei ist gut durchdacht. So wird zum Beispiel ein renommierter Weblog-Anbieter ausgesucht, bei dem dann ein Blog angelegt und mit Spyware wie Keyloggern versetzt wird. Keylogger sind Programme, die sämtliche Tastaturanschläge des Users registrieren, speichern und an Dritte weiterleiten.

Mittels einer Spamflut oder Instant Messages, in denen der Link zum betreffenden Blog enthalten ist, werden dann Nutzer auf die präparierte Site gelockt. In manchen Fällen wird das Weblog auch einfach als Speichermechanismus genutzt. Hier werden dann Programme von Trojanern, die sich der User bereits anderswo eingefangen hat, abgerufen und auf dem Computer des Nutzers installiert.

Hacker bleiben meist unerkannt

Weblogs sind für Hacker besonders attraktiv, da deren Provider den Usern zumeist kostenlos großen Speicherplatz zur Verfügung stellen. Eine weitere Authentifizierung des Bloggers wird so gut wie nie verlangt.

Quelle : www.onlinekosten.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Schädliche Werbebanner ...
« Antwort #1 am: 20 Juli, 2006, 11:15 »
MySpace entwickelt sich offenbar immer mehr zur Virenschleuder, die Besucher bereits beim Aufruf von Profilen und Seiten von Mitgliedern infiziert – ganz ohne Zutun des Nutzers. MySpace ist eine der größten englischsprachigen Social-Networking-Webseiten und hat bislang rund 100 Millionen Mitglieder registriert und verzeichnet wöchentliche Neuzugänge von über 500.000 Mitgliedern.

Nach Angaben von Michael La Pilla, einem Malware-Analysten des Sicherheitsdienstleisters iDefense, soll ein eingeblendetes Werbebanner eines Ad-Servers in den vergangenen Wochen versucht haben, Besucher von MySpace.com mit Spyware zu infizieren. Offenbar nutzten die Angreifer die Anfang des Jahres bekannt gewordene Lücke bei der Verarbeitung von WMF-Bildern in Windows.

Ein Patch steht zwar seit Januar zum Schließen der Lücke bereit, wer den aber immer noch nicht installiert hatte, bekam Spyware aus der PurityScan/ClickSpring-Familie untergeschoben, die den Nutzer mit Pop-ups zumüllt und sein Surf-Verhalten protokolliert. Eine türkische Webseite hätte dann unter anderem die Zahl der erfolgreichen Infektionen gezählt. Laut La Pilla sollen die dort abgelegten Daten darauf hingewiesen haben, dass rund eine Million Computer befallen wurden. Das ausgelieferte Werbebanner stammte von Deckoutyourdeck.com, danach verlieren sich die Spuren der Angreifer aber im Netz.

Anfang der Woche warnte MySpace seine Mitglieder zudem vor infizierten User-Profile-Seiten (about me), die über eine kürzlich veröffentlichte Lücke in Adobes Macromedia Flash Windows-PCs mit Würmer infizierten. Der soll dann wiederum die Profile-Seiten verunstaltet haben und Besucher auf Webseiten mit politischen Parolen umgeleitet haben.

Siehe dazu auch:

    * Hacked Ad Seen on MySpace Served Spyware to a Million, Security-Blog der Washington Post
    * MySpace Attacked by Flash Worm, Security-Blog der Washington Post

Quelle und Links : http://www.heise.de/security/news/meldung/75707

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Websites verteilen Schadsoftware
« Antwort #2 am: 26 Oktober, 2006, 15:49 »
Ein Website, die eine Link-Sammlung zum bevorstehenden Halloween-Fest bereit hält, lädt mittels verschiedener Exploits Malware auf anfällige Windows-Rechner.

Wie Ivan Macalintal vom Antivirus-Hersteller Trend Micro im Weblog der Malware-Forscher berichtet, verbreitet eine Halloween-Website allerlei schädlichen Code. Die (zurzeit noch aktive) Website ist unter den vordersten Treffern bei Google, wenn nach Halloween-Themen gesucht wird.

Im HTML-Quelltext finden sich ganz am Ende der Seite zwei IFrames (Inline Frames, eingebettete Frames), die PHP-Seiten von einem russischen Web-Server laden (siehe Bild links). Diese Seiten enthalten verschleiernden Javascript-Code, der dazu dient, eine Web-Seite in das Browser-Fenster zu schreiben, die auch wieder Javascript-Code enthält. Dieser wiederum versucht etliche, teils ältere, teils neuere Sicherheitslücken im Internet Explorer auszunutzen. Damit soll eine Datei "win32.exe" auf den Rechner geladen und ausgeführt werden. Diese lädt weitere Schädlinge nach, die in JPEG-Dateien verborgen sind.

Der Besuch einer harmlos erscheinenden Website mit einem ungepatchten Internet Explorer kann also dazu führen, dass der eigene PC unter die Kontrolle eines russischen Kleinkriminellen gerät. Beim Besuch der Website mit Firefox oder Opera passiert hingegen - in diesem Fall - nichts. Die gute Nachricht ist, dass Google inzwischen eine Warnseite dazwischen schaltet, wenn Sie diese Website über einen Suchtreffer in Google aufrufen.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Asus.com verteilt Schadsoftware
« Antwort #3 am: 07 April, 2007, 13:45 »
Besucher der Website Asus.com bekommen derzeit unter Umständen Schadsoftware untergeschoben. Erste Hinweise erreichten heise Security im Verlaufe des gestrigen Abends. Das in eine Datei namens Tradue.com nachgeladene Programm erkennen die meisten aktuellen Virenscanner als PWS-Trojaner, der in erster Linie dem Passwortklau dient. Wer in den vergangenen Tagen die Website des Hardwareherstellers besucht hat, sollte seinen Rechner mit einem aktualisierten Antivirusprogramm auf Trojanerbefall überprüfen.

Im Quellcode der Webseite befindet sich ein unsichtbares IFRAME-Objekt, das auf JavaScript-Code vom Server www.ipqwe.com verweist, der offenbar nicht zu Asus gehört. Der dort hinterlegte Schadcode nutzt eine Schwachstelle im Active-X-Control RDS.Dataspace (MS06-014), die Microsoft am April-Patchday 2006 vor einem Jahr behoben hat, um den eigentlichen Trojaner nachzuladen und zu starten. Von dieser Schwachstelle sind nur Nutzer eines ungepatchten Internet Explorers betroffen.

Der Vorfall ist kein Einzelfall. Asus wurde in der Vergangenheit bereits mehrfach Opfer von derartigen Angriffen gegen seine Webserver. Ein Leserhinweis, der Schadcode versuche die erst vor wenigen Tagen gefixte ANI-Schwachstelle auszunutzen, konnte sich bislang nicht bestätigen. Trotzdem sollten IE-Benutzer vor dem Besuch der Asus-Website alle Windows-Updates einspielen, ihre AV-Software aktualisieren und sicherheitshalber vorübergehend ActiveX deaktivieren.

Siehe dazu auch:

    * Asus-Server als Virenschleuder, Meldung von heise Security -> http://www.heise.de/security/news/meldung/82637

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Asus.com verteilt Schadsoftware [Update]
« Antwort #4 am: 07 April, 2007, 15:27 »
Eine weitergehende Analyse des Schadcodes hat ergeben, dass er auf IE-Browsern wie vermutet auch die ANI-Lücke ausnutzt. Allerdings ist die vom Server www.yyc8.com nachgeladene Datei bm3.exe, die vermutlich ebenfalls einen Trojaner enthielt, inzwischen nicht mehr abrufbar. Der ANI-Exploit verläuft demnach zurzeit ins Leere.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Asus.com verteilt Schadsoftware [2. Update]
« Antwort #5 am: 07 April, 2007, 18:02 »
Inzwischen ist der Server, dessen HTML-Seiten auf den Schadcode verwiesen, stillgelegt. Offenbar waren nicht alle Server, auf die Asus die Auslieferung der Website verteilt, von dem Problem betroffen. Vergleicht man den aktuellen Vorfall mit dem Strickmuster des Vorfalls vom vergangenen Dezember, ergeben sich wesentliche Übereinstimmungen: Sowohl in überwiegenden Teilen der verwendete VBScript-Code als auch die beteiligten Domains ipqwe.com, ok8vs.com und yyc8.com, die auf demselben chinesischen Server liegen, sind identisch.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Malvertising: Verseuchte Flash-Werbebanner
« Antwort #6 am: 11 Dezember, 2007, 13:53 »
Eine relativ neue und weniger bekannte Methode zur Verbreitung von Malware sind Werbebanner, die schädlichen Code enthalten. Sie werden in Werbenetzwerke oder Bannertauschringe eingespeist und können so auf ansonsten harmlosen Websites erscheinen.


Das beliebteste Format für aktive Werbebanner ist Flash (.swf) mit seiner integrierten Script-Sprache Actionscript. Aktive Werbebanner können mehr als nur ein Bild oder eine Animation, die mit einem Link verknüpft ist. Solche Werbebanner sind nicht nur in den Netzwerken von Werbedienstleistern zu finden sondern auch in mehr oder weniger privat organisierten Bannertauschringen. Auch Online-Kriminelle haben längst die Möglichkeiten für sich entdeckt, die sich daraus ergeben. Bei Werbebannern, die schädlichen Code enthalten, spricht man auch von "Malvertising" (malicious advertising).

William Salusky vom Internet Storm Center hat festgestellt, dass solche schädlichen SWF-Dateien oft eine oder mehrere dieser Eigenschaften gemeinsam haben:
- sie sind mit kommerziellen Verschlüsselungsprogrammen vor dem Dekompilieren geschützt
- sie können komplexe Verschleierungstechniken einsetzen, um den schädlichen Actionscript-Code zu tarnen
- sie können Exploit-Code enthalten, der Sicherheitslücken im Rechner eines Besuchers ausnutzt
- sie können einfach nur als Sprungbrett zum eigentlichen Exploit-Server dienen
- sie können mit Hilfe von Social Engineering versuchen den Besucher zur Installation eines Programms zu bewegen
- sie enthalten zum Teil eine Zeitsteuerung, die schädlichen Code erst an einem bestimmten Tag und/oder zu einer bestimmten Zeit aktiviert.

Ansonsten können auf diesem Wege praktisch alle heute üblichen Schädlinge unters Volk gebracht werden. Es handelt sich bei Malvertising also lediglich um einen weiteren Angriffsvektor. Es muss sich auch nicht unbedingt um Werbebanner handeln - auch jede andere eingebettete Flash-Datei kann dem gleichen Zweck dienen.

Einen gewissen Schutz bieten zum Beispiel Firefox-Erweiterungen wie FlashBlock oder Noscript. Sie verhindern zunächst das Laden von Flash-Dateien und zeigen stattdessen ein Platzhaltersymbol an. Wenn Sie die Datei sehen wollen, genügt ein Mausklick. Doch in dem Moment ist es mit Schutz auch schon vorbei. Aktuelle Antivirus-Software, die (hoffentlich) wenigstens den eingeschleusten Schädling erkennt und unschädlich macht, ist dann bereits die letzte Bastion.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline Jürgen

  • der Löter
  • User a.D.
  • ****
  • Beiträge: 4999
  • white LED trough prism - WTF is cyan?
Re: Malvertising: Verseuchte Flash-Werbebanner
« Antwort #7 am: 11 Dezember, 2007, 16:55 »
Irgendwie wirkt die Erwähnung von FlashBlock hier etwas geringschätzig.

Ich finde jedoch, dass das automatische Öffnen von Flash inzwischen viel zu riskant ist.

Daher halte ich den Einsatz für unverzichtbar.

Besser einen Klick vom Müll entfernt, als default gleich automatisch mitten drin...
Kein Support per persönlicher Mitteilung!
Fragen gehören in's Forum.

Veränderungen stehen an. Dies ist der bisherige Stand:
28,x°,23.5°,19,2°,13°Ost
,1mØ Multifeed, mit Quattro LNBs; Multiswitches 4x 5/10(+x) - alle ohne Terrestrik und modifiziert für nur ein 12V DC Steckernetzteil (Verbrauch insgesamt 15 Watt)
1mØ mit DiSEqC 1.3/USALS als LNB2 an DVB-S2 STB, aktuell 30°W bis 55°O
1.) FM2A88X Extreme6+, A8-6600K (APU mit 4x 3,9 GHz und Radeon HD8570D), 16GB DDR3 1866, 128GB SSD, 3TB HDD, Win10 x64 Pro 1909 / 10.0.17763.107, Terratec T-Stick Plus (für DAB+), Idle Verbrauch ca. 35 Watt
2.) FM2A75 Pro 4, A8-5600K (APU mit 4x 3,6 GHz und Radeon HD7530D), 8GB DDR3 1600, 128GB SSD, 2TB HDD, Win10 x64 Pro, Idle Verbrauch ca. 45 Watt
3.) Raspberry Pi 512MB u.a. mit Raspbian
4.) GA-MA770-UD3, Phenom II x4 940, 8GB DDR2, Radeon HD6570, 2TiB, USB 3.0, 10 Pro x64 (+ XP Pro 32bit (nur noch offline)), Ubuntu 10.4 64bit, Cinergy S2 USB HD, NOXON DAB+ Stick, MovieBox Plus USB, ...

Samsung LE32B530 + Benq G2412HD @ HDMI 4:2; Tokaï LTL-2202B
XORO HRS-9200 CI+ (DVB-S2); XORO HRT-8720 (DVB-T2 HD)
Empfänger nur für FTA genutzt / ohne Abos
YAMAHA RX-V663 (AV-Receiver); marantz 7MKII; Philips SHP2700 ...
FritzBox 7590 mit VDSL2 50000

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Manipulierte Werbebanner drängen Anwendern Nörgel-Software auf
« Antwort #8 am: 14 Januar, 2008, 15:14 »
Immer öfter versuchen Software-Hersteller, mit so genannter Nörgel-Software (im englischen Nagware) ihre Produkte an den Mann zu bringen. Dabei wird ein Anwender in der Regel auf einer Webseite erst eingeschüchtert, um ihn dazu zu bewegen, sich eine Demoversion des Produkts zu installieren. Danach nörgelt die meist als Sicherheits- oder Systemrettungstool daherkommende Software aber mit zahlreichen Warnungen herum, das System sei unsicher, falsch konfiguriert oder sonstwie suboptimal eingestellt. Abhilfe bringe es nur, die kostenpflichtige Vollversion des Tools zu installieren.

Auf Nagware stößt der Anwender nicht nur auf dubiose Webseiten. Sie kann sich zum Beispiel über Links in Werbebannern auf bekannten Websites einschleichen. So Anfang 2007 bei Microsoft: Anwendern des Windows Live Messenger von Microsoft wurde Banner-Werbung für fragwürdige Software eingeblendet. Am Freitagabend hat es auch heise online getroffen: Ein nachträglich manipuliertes Werbebanner versuchte, Besuchern von heise online unerwünschte Software unterzuschieben. Einige Anwender bekamen dabei ein Fenster zu sehen, in dem ihnen ein System-Scan durch das vorgebliche Anti-Spyware-Programm "SysKontroller" vorgegaukelt wurde. Nutzer eines Virenscanners wurden vor dem Trojaner "Downloader.SWF.Gida.a" gewarnt.

Im Verlauf des simulierten Scans zeigte das Fenster mehrere unspezifische Warnungen an, die dem Nutzer wegen angeblich bevorstehender Datenverluste nahelegten, ein nachzuladenes Programm "setup_de.exe" zu installieren. Windows-Anwendern, die auf den "Weiter"-Button klickten, wurde nach einem weiteren Bestätigungsklick der SysKontroller auf dem PC installiert. In der Folge startete dieser bei jedem Booten und log dem Nutzer schwere Systemfehler und Datenverlust vor. Die angebotene Sofort-Reparieren-Funktion sollte nur mit der Bezahlversion möglich sein.

Nach bisherigen Erkenntnissen enthält SysKontroller sonst keine Schadfunktion und lässt sich über die Systemsteuerung wieder deinstallieren, allerdings nicht ganz rückstandsfrei. Der Rest lässt sich aber mit einem Virenscanner entfernen. SysKontroller wird unter anderem als Downloader.Win32.WinFixer.br erkannt. Einen kostenlosen Scanner gibt es beispielsweise von Avira unter http://www.free-av.de. Anwender, die nach der ersten SysKontroller-Meldung im Browser nichts weiter angeklickt haben, haben nichts zu befürchten, da sich die Nagware nicht selbsttätig installieren kann.

Nach Hinweisen von Lesern wurde das verursachende Banner gegen 1 Uhr nachts aus den Seiten von heise online entfernt. Nach bisherigen Analysen lud es ein Skript von den Seiten des Marketingdienstleisters traffalo.com nach, das wiederum ein Flash-Applet nachlud, welches mittels ActionScript weiteres JavaScript in die bestehende HTML-Seite einschleuste. Diverse Virenscanner erkannten bei diesem Versuch einen "Trojan-Downloader.SWF.Gida.a". Wieso das Skript nachträglich kompromittiert werden konnte, wird derzeit noch untersucht. Bei der initialen Prüfung des Werbebanners vor dem Einstellen auf heise online waren keine Unregelmäßigkeiten aufgetreten. Zudem wird untersucht, ob eine der zuletzt im Flash Player geschlossenen Sicherheitslücken bei dem Vorfall eine Rolle spielte.

heise online bedauert die Unannehmlichkeiten, die einigen Lesern entstanden sind, und bittet die Betroffenen um Entschuldigung. Aufgrund des Vorfalls sollen die Sicherheitskontrollen der von externen Servern zugelieferten Inhalte verschärft werden.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
eWeek verteilte schädliche Werbebanner
« Antwort #9 am: 25 Februar, 2009, 18:53 »
Das Online-Magazin eWeek ist Opfer einer Werbekampagne geworden, die den Website-Besuchern Schadcode statt bunter Bilder schickt. Laut dem Sicherheitsspezialisten Websense habe ein am gestrigen Dienstag auf eweek.com ausgeliefertes Werbebanner versucht, mit Hilfe eines manipulierten PDF-Dokumentes eine Scareware (Nörgel-Software) namens Anti-Virus-1 auf dem Rechner der Besucher zu installieren. Diese gebe fälschlicherweise zunächst vor, eine Infektion des Systems festzustellen, um den Anwender zum Kauf einer kostenpflichtigen Vollversion zu bewegen.

Inzwischen hat eWeek reagiert und die schädliche Werbekampagne gestoppt. In einer Erklärung zum Vorfall teilt eWeek mit, dass neben eweek.com auch andere Websites des Ziff-Davies-Netzwerkes das schädliche Banner ausgeliefert haben. Die Angreifer hätten es auf eine ältere Sicherheitslücke im Adobe Reader abgesehen, heißt es weiter. Es handelt sich demnach nicht um das bislang ungelöste Sicherheitsproblem, das erst kürzlich in Adobe-Produkten entdeckt wurde.

Angriffe über manipulierte Flash-Werbebanner sind keine Seltenheit. Für die betroffenen Portale ist es schwierig, sich gegen die Methode zu schützen, weil in der Regel externe Dienstleister die Banner vermarkten und teils mit eigenen Servern an die Website-Besucher ausliefern. Im vergangenen Jahr erwischte es beispielsweise Myspace, Excite.com und eine reihe populärer Tageszeitungen. Auch heise.de hat es Anfang 2008 getroffen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline Jürgen

  • der Löter
  • User a.D.
  • ****
  • Beiträge: 4999
  • white LED trough prism - WTF is cyan?
Re: Manipulierte Werbebanner drängen Anwendern Nörgel-Software auf
« Antwort #10 am: 26 Februar, 2009, 11:27 »
Wer externe Inhalte in seine Webseiten einbindet, macht sich diese zueigen.
Er hat dafür einzustehen, als hätte er diesen Inhalt selbst eingestellt.
Insbesondere gilt das auch für Werbung auf redaktionellen Seiten.

Nicht anders als als in Zeitschriften und Büchern, nur leider viel riskanter für den Nutzer...

Gerade bei alteingesessenen Verlagen, zu denen heise zweifellos gehört, darf man eigentlich ausreichendes Bewusstsein für diese Problematik verlangen, zumal ausgerechnet heise sich Computersicherheit selbst zu einem Haupttätigkeitsfeld erwählt hat. Und so ein nicht eben kleines Verlagshaus sollte m.e. das Anzeigengeschäft als ureigene Aufgabe ansehen, die mit eigenen Kräften zu handhaben ist, nicht an beliebige Dritte übertragbar.

Insbesondere ist nicht hinzunehmen, dass Dritte eigene Skripte einbinden dürfen, bevor ein Nutzer ein Werbebanner zielgerichtet angeklickt hat. Natürlich erst recht nicht über einen vorgeblichen Schliessen-Button auf einem Popup. Das heisst, auch der Rahmen eines Popups bzw. eines sonstigen verdeckenden Elements darf samt Buttons nicht zu einer dritten Seite gehören.

Kurzum, ohne Flash- und Popup-Blocker sollte man sich offensichtlich nirgendwo mehr bewegen  ::)
Kein Support per persönlicher Mitteilung!
Fragen gehören in's Forum.

Veränderungen stehen an. Dies ist der bisherige Stand:
28,x°,23.5°,19,2°,13°Ost
,1mØ Multifeed, mit Quattro LNBs; Multiswitches 4x 5/10(+x) - alle ohne Terrestrik und modifiziert für nur ein 12V DC Steckernetzteil (Verbrauch insgesamt 15 Watt)
1mØ mit DiSEqC 1.3/USALS als LNB2 an DVB-S2 STB, aktuell 30°W bis 55°O
1.) FM2A88X Extreme6+, A8-6600K (APU mit 4x 3,9 GHz und Radeon HD8570D), 16GB DDR3 1866, 128GB SSD, 3TB HDD, Win10 x64 Pro 1909 / 10.0.17763.107, Terratec T-Stick Plus (für DAB+), Idle Verbrauch ca. 35 Watt
2.) FM2A75 Pro 4, A8-5600K (APU mit 4x 3,6 GHz und Radeon HD7530D), 8GB DDR3 1600, 128GB SSD, 2TB HDD, Win10 x64 Pro, Idle Verbrauch ca. 45 Watt
3.) Raspberry Pi 512MB u.a. mit Raspbian
4.) GA-MA770-UD3, Phenom II x4 940, 8GB DDR2, Radeon HD6570, 2TiB, USB 3.0, 10 Pro x64 (+ XP Pro 32bit (nur noch offline)), Ubuntu 10.4 64bit, Cinergy S2 USB HD, NOXON DAB+ Stick, MovieBox Plus USB, ...

Samsung LE32B530 + Benq G2412HD @ HDMI 4:2; Tokaï LTL-2202B
XORO HRS-9200 CI+ (DVB-S2); XORO HRT-8720 (DVB-T2 HD)
Empfänger nur für FTA genutzt / ohne Abos
YAMAHA RX-V663 (AV-Receiver); marantz 7MKII; Philips SHP2700 ...
FritzBox 7590 mit VDSL2 50000

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Razer Treiber-Portal verteilte Malware-Downloads
« Antwort #11 am: 22 September, 2009, 11:17 »
Kunden des auf Spiele-Peripheriegeräte spezialisierten Hardwareherstellers Razer haben sich möglicherweise beim Herunterladen von Treibern für Mäuse und Keyboards einen Trojaner eingefangen.

Dies meldet der Sicherheitsdienstleister Trend Micro, der Razer umgehend zu dem Problem informierte, woraufhin die Treiber-Seiten vorläufig vom Netz genommen wurden. Nach Angaben von Trend Micro erhielten die Kunden von Razer beim Versuch, einen Treiber herunter zu laden, einen Trojaner, der wiederum einen Wurm nachlädt.

Dieser Wurm namens WORM.ASPXOR.AB wird bisher nur von recht wenigen Virenscannern erkannt. Noch ist unklar, wie lange die schwerwiegenden Sicherheitsprobleme bereits bestehen. Trend Micro zufolge scheinen die Angriffe in den letzten 24 bis 36 Stunden begonnen zu haben, was auf eine geringe Zahl von erfolgreichen Infektionen hoffen lässt.

Razer fordert dennoch alle Kunden, die in der letzten Zeit einen Treiber von den Support-Seiten des Unternehmens herunter geladen haben, dazu auf, ihr System umgehend einer ausführlichen Virenprüfung zu unterziehen. Wann die Support-Seite von Razer wieder ans Netz geht, ist derzeit noch nicht bekannt. Bei Problemen sollen sich die Kunden an den technischen Support wenden.

Quelle : http://winfuture.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Schädliche Werbebanner auf Handelsblatt.de und Zeit.de
« Antwort #12 am: 03 Februar, 2010, 17:16 »
Besucher von handelsblatt.de und zeit.de bekamen gestern vereinzelt Schadcode untergeschoben, der sogenannte Scareware auf dem System installierte. Scareware gaukelt dem Anwender wiederum eine Infektion mit Trojanern und Viren vor. Um die vermeintlichen Virenfunde zu beseitigen, versuchen die Programme dem Anwender den Kauf einer Vollversion aufzudrängen. Dabei nerven sie mit häufigen Warnmeldungen im laufenden Betrieb oder blockieren gar das System. Wie man Scareware erkennt, sich davor schützt und sie beseitigt, erklärt der Artikel Scharlatane und Hochstapler auf heise Security .

Wie die Scareware ins System eindrang, ist unklar, möglicherweise nutzte sie bekannte, aber vom Anwender nicht gepatchte Browser-Lücken aus. In einer Stellungnahme bestätigte Christian Herp, der Geschäftsführer der Vermarktungsorganisation der Verlagsgruppe Handelsblatt GmbH, gegenüber heise Security, dass über eine Werbekampagne eines Kunden vereinzelt ein Trojaner an Nutzer ausgeliefert wurde. Dieser sei trotz intensiver technischer Prüfungen zunächst weder durch den eigenen noch die vom externen Dienstleister eingesetzten Virenscanner erkannt worden. Zuschriften von betroffenen Lesern an heise online bestätigen dies.

"Da der Trojaner nicht jedes Mal ausgeliefert wurde, sondern nur bei jedem 1000sten Aufruf, konnte die Schadstelle erst kurz nach Mitternacht in einer Testumgebung lokalisiert werden", erläuterte Herp in einer E-Mail. Hinter der Aktion stecke aus seiner Sicht hohe kriminelle Energie. Die Werbekampagne wird bereits seit gestern Abend nicht mehr ausgeliefert. Herp äußert sich zwar nicht zum Vorfall auf zeit.de, allerdings gehören sowohl die Zeit als auch das Handelsblatt zur Holtzbrinck Medien GmbH und haben den gleichen Vermarkter. Vermutlich erschien deshalb auf zeit.de die gleiche maliziöse Werbekampagne. Ein vereinzelter Leser berichtete, dass ihm auch Scareware auf welt.de untergeschoben wurde.

Bei der Scareware soll es sich um "Antivirus Soft" und "Antivirus Plus" handeln. Ein betroffener Leser berichtet, dass die manuelle Deinstallation von "Antivirus Soft" nach einer Anleitung in einem Antimalware-Forum erfolgreich verlief.

Zuletzt wurde die New York Times von Betrügern für derartige Angriffe missbraucht. Ihnen war es gelungen, eigene Banner-Ads über das Werbenetzwerk der Zeitung einzuschleusen, die beim Aufruf der Seiten eingeblendet wurden. Besucher des Online-Auftritts der New York Times bekamen dann sporadisch Einblendungen von Scareware zu Gesicht. Auch heise online hatte es Anfang 2008 getroffen

Panda Security weist aktuell auch auf Versuche von Betrügern hin, Links zu Scareware per Facebook zu verbreiten. Allerdings handelt es sich dabei offenbar nur um Webseiten, die täuschend echt die Oberfläche eines Windows-Virenscanners vortäuschen. Um eine Infektion des Systems handelt es sich hierbei aber nicht – solange der Anwender dem Drang widersteht, die angebotene Software herunterzuladen und zu installieren.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Schädliche Werbebanner auf Handelsblatt.de und Zeit.de [Update]
« Antwort #13 am: 05 Februar, 2010, 00:08 »
Update: Der zur Holtzbrinck-Gruppe gehörende IT-News-Dienst Golem lieferte nach eigenen Angaben die schädlichen Banner ebenfalls kurze Zeit aus. Analysen eines Lesers zufolge drang die Scareware über eine seit November bekannte  und gepatche Lücke der Funktion MidiSystem.getSoundbank  in Suns Java ein. Ein Exploit dafür ist ebenfalls seit November verfügbar.

2. Update:
Bei dem Angriff kam vermutlich das Exploit-Toolkit Neosploit zum Einsatz, dass nicht nur Lücken im Java-Plug-in ausnutzte, sondern zusätzlich auch Fehler in den Plug-ins für QuickTime, Adobe Flash und Adobe Reader.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189137
  • Ohne Input kein Output
    • DVB-Cube
Webseite des Umweltbundesamtes verteilte Trojaner
« Antwort #14 am: 31 März, 2010, 16:24 »
Die Startseite des Umweltbundesamtes umweltbundesamt.de (UBA) war mit dem Trojaner ZeuS infiziert. Möglicherweise wurden PCs von Besuchern ebenfalls mit ZeuS infiziert. ZeuS ist ein äußerst effektiver Trojaner, der es insbesondere auf Online-Banking-Daten abgesehen hat. Er ist in der Lage, seinem Opfer eine echte Bankseite vorzugaukeln, indem er eigenen HTML-Code in den Browser schleust. Eingegebene PINs, TANs und anderen Daten verschickt er in Echtzeit unter anderem mit einem integrierten Instant-Messaging-Client. Er tarnt sich im System mittels Rootkit-Techniken.

Einzelne Fachbereich des Umweltbundesamtes wie die Deutsche Emissionshandelsstelle (DEHSt) haben ihre Kunden bereits per Mail informiert. "Falls Sie die Internetseite des UBA zwischen Freitag, dem 19. März, und Montag, dem 22. März 2010, besucht haben, könnte sich der Trojaner auf Ihren Computer herunter geladen haben", schreibt das DEHSt in seiner Warnung. Allerdings behauptet das DEHSt in seiner Mail: "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Trojaner zwar als ungefährlich ein, empfiehlt aber seit gestern alle Besucher der UBA-Homepage vorsorglich zu informieren."

Auf Nachfrage von heise Security stellte das BSI jedoch klar, dass es ZeuS keinesfalls für ungefährlich halte. "Das BSI stuft Zeus natürlich nicht als ungefährlich ein. Zeus gehört vielmehr zu den aktuell gefährlichsten und durchdachtesten Bankingtrojanern, zusammen mit URLZone", betonte Dr Timo Steffens vom CERT-Bund. Wie es zu der Kommunkationspanne kam, ist unklar.

Man gehe davon aus, dass die UBA-Seite (im Rahmen einer größeren Attacke) zufällig von den Hackern getroffen wurde. Wie der Trojaner auf die Seite des Bundesamtes gelangt ist, ist offiziell nicht bekannt. Das Internetportal der DEHSt (www.dehst.de) sowie die Seiten des Registers (www.register.dehst.de) waren nicht betroffen. Anwendern, die im genannten Zeitraum die UBA-Seite besucht haben, empfiehlt das DEHSt, den PC mit einer Live-CD zu überprüfen, beispielsweise mit Desinfec't oder einer der kostenlosen Rescue-CDs vieler Antivirenhersteller.

Das Umweltbundesamt selbst hat noch keine Warnung veröffentlicht. Im Gespräch mit heise Security erklärte des Pressesprecher Martin Ittershagen jedoch, dass man im Laufe des heutigen Tages ein Pressemitteilung veröffentlichen wolle.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )