HTML-Scriptvirus?

[Thargor11]

1. Das bringt auf jeden Fall schon mal einiges. Zusätzlich solltest Du die auf Deinem System installierte Software prinzipiell auf dem neuesten Stand halten (der Secunia PSI hilft dabei). Dies gilt insbesondere für notorische Sicherheitslücken wie Flash und Java und auch das Betriebssytem selbst.

2. Meines Wissens nicht viel.

3. Gegenüber XP lohnt sich das auf jeden Fall. Insbesondere die Benutzerkontonsteuerung bringt einiges und man kann recht komfortabel ohne Admin-Rechte arbeiten. Gegenüber Vista sind die Sicherheitsunterschiede nicht gaz so riesig, da empfiehlt sich der Umstieg eher aus Komfortgründen.

[Kugelfisch23]

Zusätzlich wäre noch zu erwähnen, dass auch die Menge der Browser-Plugins nach Möglichkeit minimal gehalten werden sollte. Benötigst du überhaupt jemals ein Plugin abgesehen von Flash? Wenn nicht, deinstalliere oder deaktiviere die nicht benötigten, aber von einigen Anwendungen (z.B. Adobe Reader, iTunes/Quicktime, Java/JRE, ...) ungefragt installierten Plugins. Das reduziert die Angriffsfläche für Drive-By-Infektionen (der heute wohl häufigste Infektionsweg) erheblich. Allgemein kann ich nur empfehlen, http://board.gulli.com/thread/15222...-und-erkennen/ zu lesen und die dort genannten Tipps zur Absicherung umzusetzen.

[PsycoSnatch]

also bei den Add-Ons (Mozilla Firefox) habe ich momentan:

Divx VOD Helper Plug-In
DIvx Web Player
Microsoft DRM (DRM Store Netscape Plugin)
Microsoft DRM (DRM Netscape Netwrok Object)
Mozilla Default Plug-In
Shockwave Flash
Windows Media Player Plug-In Dynamic Link Library

also den Divx Web Player brauche ich (fragt sich nur welche von den Plug-Ins dann NICHT)
und als ich den Shockwave probeweise de-aktiviert habe, konnte ich keine Youtube Videos mehr anschauen.

Java bräuchte ich wenn ich mal chatten wollte, aber das ist momentan nicht der Fall.
(habe auch gelesen dass Java dort besondere Angriffsflächen bietet oder geboten hat oder so)

[Kugelfisch23]

also den Divx Web Player brauche ich [...]
und als ich den Shockwave probeweise de-aktiviert habe, konnte ich keine Youtube Videos mehr anschauen.

Beim `Shockwave Flash` genannten Plugin handelt es sich um das Flash-Player-Plugin, nicht um das Shockwave-Plugin. Das wirst du wohl benötigen. Wenn du das DivX-Web-Player-Plugin benötigst, musst du es natürlich ebenfalls aktiviert lassen, die restlichen Plugins kannst du jedoch deaktivieren, sofern du keine Windows-Media-Player- und DRM-Unterstützung (Microsoft DRM, DivX VOD) im Browser benötigst, was kaum regelmässig der Fall sein wird.

[PsycoSnatch]

cool, danke.

was hat es denn mit den "Erweiterungen" auf sich?

zb. "DivX Plus Web Player HTML5 <video>"

und

"Divx HIQ"

(beide aktiviert)

außerdem würde mich deine (Kugelfisch) Meinung zu Windows 7 auch noch interesseiren; um noch eine 2. Meinung einzuholen.

Gruß

[Kugelfisch23]

was hat es denn mit den "Erweiterungen" auf sich?

Auch nicht benötigte Firefox-Erweiterungen solltest du deaktivieren. Zwar sind Schwachstellen mindestens in klassischen Erweiterungen, die rein in JavaScript/XUL implementiert sind, seltener (was wohl neben der geringeren Verbreitung - ein erfolgreicher Angriff würde `nur` die Firefox-Nutzer betreffen, die eine bestimmte Erweiterung einsetzen - auch damit zusammenhängt, dass sich in JavaScript u.a. aufgrund des Speichermanagements einige klassische Programmierfehler, die zur Ausführung von beliebigem Code führen - etwa Buffer Overflows - schlicht nicht machen lassen) - dennoch bieten überflüssige Erweiterungen natürlich theoretisch Angriffsfläche und (wohl häufiger) unnötig Potential für Fehlfunktionen des Browers.

"DivX Plus Web Player HTML5 <video>"

Erlaubt das Einbetten von Videos in vom DivX-Webplayer untersützten per HTML-5-video-Element, siehe etwa http://labs.divx.com/webplayer/html5. Insbesondere ermöglicht dies Firefox, auch ansonsten nicht unterstützte AVC-/h.264-Videos abzuspielen. Allerdings dürften HTML-5-video-Anwendungen ohne Ogg-Theora-Inhalte für Firefox und/oder Flash-Fallback die Ausnahme sein.

"Divx HIQ"

Ersetzt auf Wunsch gewisse Flash-Video-Player durch den DivX Webplayer, siehe http://labs.divx.com/divx-plus-web-player-hiq.

außerdem würde mich deine (Kugelfisch) Meinung zu Windows 7 auch noch interesseiren

Sowohl ein Windows-XP- wie auch ein Windows-7-System lässt sich sicher konfigurieren und (mindestens bis 2014 im Falle von XP) auch aktuell halten. In der Standardkonfiguration ist Windows 7 jedoch sicherheitstechnisch sinnvoller konfiguriert als Windows XP, z.B. hinsichtlich der restriktiveren Handhabung von Admin-Rechten (UAC) und des sichereren AutoRun-/AutoPlay-Verhaltens (wobei dieses inzwischen durch einen über Windows Update ausgelieferten Patch auch auf Windows XP und Vista übertragen wird).

[dernightwalker]

Hallo,

ich habe heute ebenfalls von meinem Antivir die Fehlermeldung erhalten, dass ich wohl die o.g. Malware bzw. Virus auf meinem System hätte.

Nun habe ich mir alle Beiträge durchgelesen -> geht denn wirklich keine Gefahr mehr aus, wenn ich in Quarantäne verschoben habe?

Ich kann aus der Log-Datei jedenfalls keine Webseite ausfindig machen, woher dieser Virus wohl kam. In der Log-Datei steht nur folgendes:

C:\Users\User\AppData\Local\Mozilla\Firefox\Profiles\4vfz4e9d.default\Cache \9\AF\42978d01
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/IFrame.kko
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis verschoben!

Heißt das, dass demnach mein Firefox infiziert ist? Ich verwende den aktuellsten FF.

Danke schon mal für Antworten,
einen guten Rutsch und
liebe Grüße

dernightwalker

[Kugelfisch23]

Nun habe ich mir alle Beiträge durchgelesen -> geht denn wirklich keine Gefahr mehr aus, wenn ich in Quarantäne verschoben habe?

Die Frage, ob dein System kompromittiert wurde, ist unabhängig davon, ob du die Datei (nachträglich) in Quarantäne verschoben hast. Relevant ist einzig die Frage, ob bereits Schadcode zur Ausführung gekommen ist. Wie im Falle einer möglichen Kompromittierung vorzugehen ist, ist (wie in diesem Thread bereits erwähnt) in http://board.gulli.com/thread/15222...2#post12551252 erklärt. Ein Scan des Systems von einem unabhängigen Bootmedium aus wäre sicherlich sinnvoll.

Davon abgesehen wäre interessant, welche Versionen welcher Plugin du in Firefox installiert und aktiviert hattest, als du die Webseite mit dem (mutmasslichen) Schad- bzw. Exploit-Code besucht hast. Wenn kein Plugin mit bekannten Schwachstellen aktiv war, dürfte die Wahrscheinlichkeit einer Kompromittierung sehr gering sein.

Heißt das, dass demnach mein Firefox infiziert ist?

Nein, das bedeutet lediglich, dass auf einer im Browser-Cache abgelegten Webseite mutmasslicher Schadcode gefunden wurde. Die Webseite wird wohl dadurch, dass du sie schlicht besucht hast, in deinen Browser-Cache gelangt sein. Daraus lässt sich vermuten, dass dein Browser möglicherweise mit Schadcode in Kontakt gekommen ist, was allerdings keineswegs zwingend zu einer Infektion führen muss (eine solche ist, sofern Browser und Plugins keine bekannten Schwachstellen aufweisen, sogar sehr unwahrscheinlich).

[aNtiCHrist]

geht denn wirklich keine Gefahr mehr aus, wenn ich in Quarantäne verschoben habe?

Von der Datei wohl kaum noch. Die Frage sollte allerdings vielmehr sein, ob das System bereits zuvor kompromittiert werden konnte. Wenn ja, hilft die Quarantäne auch nicht mehr. Die Datei hätte dann ja ihren Zweck bereits erfüllt und wäre nun eh nutzlos.

Heißt das, dass demnach mein Firefox infiziert ist? Ich verwende den aktuellsten FF.

Nein, das bedingt die Meldung nicht. Zunächst ist das einfach nur eine Warnung, die dein Malwarescanner ausgibt, weil er in der Datei etwas gefunden hat, das laut den verwendeten Malware-Definitionsdateien von Avira als verdächtig eingestuft wird. Nun gibt es zwei Möglichkeiten: Es handelt sich um eine Falschmeldung. Das kann durchaus vorkommen, da die Erkennung (in beide Richtungen) nicht exakt arbeiten kann. Oder aber handelt sich tatsächlich um eine berechtigte Meldung eines Exploits. Dann wäre zu prüfen, ob die Umgebung (also Browser und darin nutzbare Plugins) auch eine Schwachstelle enthält, die ausgenutzt werden soll. Sofern du wie unter http://board.gulli.com/thread/152225...12551307-sec_2 empfohlen Browser und Plugins permanent aktuell hältst und unnötige Plugins entfernst/deaktivierst, ist das ziemlich unwahrscheinlich.

Sofern du aber veraltete Plugins nutzt, besteht durchaus das Risiko, dass das gesamte System (und nicht etwa nur Firefox) erfolgreich kompromittiert werden konnte. Der Inhalt der gemeldeten Datei sowie die verfügbaren Plugins inklusive Versionsnummer wären dann interessant. Daran kann man dann ggf. einschätzen, ob Schadcode vorliegt und ob dieser in den vorliegenden Versionen funktioniert.

Ergänzung: Zeitliche und inhaltliche Überschneidung mit Kugelfisch23s Beitrag.

[dernightwalker]

Hallo,

vielen Dank euch beiden.

Ich habe, seit es die Riesensprünge bei den Firefox-Versionen gibt, kaum noch Add-Ons.

Einzig Java und Adblock Plus. Das sind jeweils die aktuellsten. Im durchschauen eben habe ich noch eine - zwar aktuelle - Version eines älteren Add-on entdeckt: Update-Scanner. Möglicherweise hat der beim scannen der Webseiten was eingekauft...

Sofern du aber veraltete Plugins nutzt, besteht durchaus das Risiko, dass das gesamte System (und nicht etwa nur Firefox) erfolgreich kompromittiert werden konnte. Der Inhalt der gemeldeten Datei sowie die verfügbaren Plugins inklusive Versionsnummer wären dann interessant. Daran kann man dann ggf. einschätzen, ob Schadcode vorliegt und ob dieser in den vorliegenden Versionen funktioniert.

Wie komme ich an den Inhalt der gemeldeten Datei?

Ich lasse gerade einen vollständigen Scan durchführen - bisher 10 Funde und 2 Warnungen :-( Allerdings wurde mir iframe mittels LiveScan angezeigt.

LG

[aNtiCHrist]

Ich habe, seit es die Riesensprünge bei den Firefox-Versionen gibt, kaum noch Add-Ons.

Du beziehst dich damit mutmaßlich auf (nicht mehr gepflegte) Erweiterungen, die dadurch inkompatibel geworden sind. Beachte, dass in Firefox neben den Erweiterungen auch Plugins zu den Add-ons gezählt werden. Plugins sind in aller Regel nicht abhängig von der Version des Browsers und ein einziges Plugin mit einer kritischen Schwachstelle reicht aus, um den Rechner zu kompromittieren.

Einzig Java und Adblock Plus.

Wobei bei Java zu hinterfragen wäre, ob du die Erweiterung oder die Plugins wirklich benötigst. Wenn du dir nicht sicher bist, wozu du sie im Browser hast, deaktiviere sie einfach. Das Deployment-Plugin benötigt praktisch niemand (es war in der Vergangenheit aber schon mal für eine hochkritiche Schwachstelle verantwortlich) und auch Java-Applets sind inzwischen sehr selten geworden.

Im durchschauen eben habe ich noch eine - zwar aktuelle - Version eines älteren Add-on entdeckt: Update-Scanner. Möglicherweise hat der beim scannen der Webseiten was eingekauft...

Du meinst die Erweiterung unter https://addons.mozilla.org/de/firefo...pdate-scanner/? Wie soll man das "eingekauft" verstehen? Vermutest du eine Schwachstelle in der Erweiterung? Das halte ich für eher unwahrscheinlich. Üblicherweise werden vor allem Schwachstellen in gängigen Browsern/Plugins ausgenutzt.

Wie komme ich an den Inhalt der gemeldeten Datei?

Indem du sie mit einem Texteditor öffnest. Dazu müsstest du sie ggf. zuvor (temporär) wieder aus der Quarantäne entfernen.

Ich lasse gerade einen vollständigen Scan durchführen - bisher 10 Funde und 2 Warnungen :-(

So ohne nähere Informationen zu Ort und Art der Funde muss das zwar noch nicht eine Kompromittierung bestätigen, es macht sie aber durchaus wahrscheinlicher. Insbesondere, wenn zuvor durchgeführte Scans ohne Funde blieben. Führst du den Scan wie empfohlen von einem sauberen Bootmedium aus?

[dernightwalker]

Führst du den Scan wie empfohlen von einem sauberen Bootmedium aus?

Nein, da mir momentan noch unklar ist, wie ich dies anstellen soll. Kann ich einen Virenscanner ohne weiteres auf einer externen Festplatte, bzw. einem USB-Stick installieren und von dort laufen lassen?

Danke :-)

[Kugelfisch23]

Das Speichermedium ist nicht relevant, sondern die Tatsache, dass der Scan von einem sauberen System aus erfolgt, damit keine Malware (z.B. in Form eines Rootkits) aktiv sein und die Scan-Ergebnisse potenziell beeinflussen kann. Es würde demnach wenig helfen, das laufende, möglicherweise kompromittierte System zu nutzen, um einen Malwarescanner von einem externen Speichermedium aus auszuführen.

Für diesen Anwendungsfall bieten mehrere Malwarescanner-Entwickler Live-Systeme mit ihren jeweiligen Malwarescannern an, z.B. Avira mit dem AntiVir Rescue System. Damit lässt sich ohne Weiteres direkt eine bootbare CD mit dem Live-System brennen, unter http://forum.avira.com/wbb/index.php...&postID=821383 findest du eine Anleitung, anstelle einer CD andere Medien wie z.B. USB-Speichersticks zu nutzen. Dies wird übrigens auch im bereits erwähnten Sticky unter http://board.gulli.com/thread/15222...551252-sec_3.3 beschrieben.