| "Autor" |
Trojaner von Chatworld |
|
|
|
geschrieben am: 14.02.2005 um 11:55 Uhr
|
|
hallo,
es ist mir jetzt schon zum 2. mal passiert das sich während dem chatten Java lädt und dann ein Trojaner heruntergeladen wird. anti-vir erkennt erst die java klasse als trojaner und dann eine "Bla.exe" die auf C: geladen wurde. habe die datei gelöscht.. aber eben ist es wie gesagt wieder passiert.
es muss von der chatworld seite kommen da ich sonst nichts offen hatte. vielleicht von einem werbebanner? wobei ich die eigentlich per host-datei geblockt habe.
ich benutze mozilla firefox als browser.
wenn sich das applet lädt steht in der statuszeile auch eine url, ich nehme an von der wird es geladen... aber es war jeweils eine unterschiedliche url. hab sie mir leider nicht gemerkt.
folgendes ist in den logs zu finden:
13.02.2005,00:51:38 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.aaq!
C:[...]ANWENDUNGSDATENSUNJAVADEPLOYMENTCACHEJAVAPI V1.0FILEMY.CLASS-204956BE-58912217.CLASS
13.02.2005,00:52:41 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.aaq!
C:BLA.EXE
[INFO] Die Datei wurde gelöscht!
14.02.2005,11:05:28 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.aaq!
C:[...]ANWENDUNGSDATENSUNJAVADEPLOYMENTCACHEJAVAPI V1.0FILEMY.CLASS-DC825CC-1C785047.CLASS
14.02.2005,11:05:36 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.aaq!
C:BLA.EXE
[INFO] Die Datei wurde gelöscht!
ist es ein bereits bekanntes problem?
Grüße,
smoOth |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 14.02.2005 um 12:21 Uhr
|
|
Hmm...eben mal probiert.
Werd das mal weiterleiten - weil das ja wohl der Oberhammer...
Steven |
| Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 14.02.2005 um 15:14 Uhr
|
|
das gleiche ist mir vorgestern und gestern insgesamt 5 mal passiert
mcaffee hat alles erkannt und sofort gelöscht, wie auch bei dir
neben den trojanern war auch ein virus zu finden
war mir nicht sicher ob es über cw kam da ich auch andere seiten zum gleichem zeitpunkt besuchte |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 14.02.2005 um 15:27 Uhr
|
|
dabei fällt mir noch ein, ein paar dieser trojaner kamen just zu dem zeitpunkt wo ich die seite "funny-powerpoints.net" besuchen wollte...
erbitte trotzdem dieser sache nachzugehen |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 14.02.2005 um 20:00 Uhr
|
|
Moin Steven,
auch ich habe diesen Trojaner eingefangen....
griez
Meno |
| Wir sind der Stoff, aus dem die Träume gemacht sind. Shakespeare |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 14.02.2005 um 20:06 Uhr
|
|
Hm...ich wie gesagt auch, da ich's selber mal probiert habe.
Die Anfrage läuft noch/bereits.
Hoffen wir, dass wir morgen eine Antwort haben.
Ich denke mal, dass dieser Müll von irgendeiner eingebundenen Werbung bzw. irgendeines Partnerprogrammes herkommt. Von Chatworld selbst wohl eher nicht.
Steven |
| Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 14.02.2005 um 22:18 Uhr
|
|
Reproduzierbar mit Firefox 1.0, Windows NT.
Auf den ersten Blick findet sich unter anderem das heruntergeladene ActiveX-Steuerelement "Dialer Class" mit Herausgeber "ipmdigital.com".
Welcher der diversen Frames dieses nachlädt, kann ich auf den ersten Blick nicht nachvollziehen. Ich hoffe mal stark, dass ich das auch nicht mehr kann, wenn ich Feierabend habe -- sondern dass es bis dahin behoben ist. :-)
Ansonsten: Autsch. Sehr autsch. Und Steven: Die Abacho AG ist nach eigenen Angaben für alle Inhalte verantwortlich. Das könnte unter Umständen teuer werden.
Bis später. :-)
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 14.02.2005 um 23:16 Uhr
|
|
Was soll ich dazu sagen? :-(
Hab nen "bösen" Thread geschrieben und warte auf Antwort...
Steven |
| Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 14.02.2005 um 23:47 Uhr
|
|
Das langt ja auch erstmal. Ich sehe die Verantwortlichkeiten bei eingebundener Werbung nur (mal wieder) etwas enger, das wollte ich damit sagen.
Alles andere ist ja bisher Spekulation. :-)
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 15.02.2005 um 01:48 Uhr
|
|
So, hier ist es nicht mehr reproduzierbar. Das lässt drei mögliche Erklärungen zu:
1.) ihr oder der Werbe-Hoster habt es gefunden und behoben (das ist die wünschenswerteste)
2.) betroffen ist eine Einblendung tagsüber
3.) die Kombination aus Firefox 1.0, Java-Runtime-Plugin 1.5.0_01 und XP-Patches aus dem Patchday 8. Februar ist schlicht nicht anfällig. (das ist die wahrscheinlichste)
Als Alternative hätte ich noch einen IE 6.0.2900.2180.xpsp_sp2_rtm.040803-2158, gleiches JRE, ebenfalls kein Befund.
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 15.02.2005 um 09:48 Uhr
|
|
Irgendwie kommt der Scheiß aus dem Frame h**p://www.chatworld.de/endemann/usefull.html, wo die ganze Werbung herkommt.
Naja, wir werden sehen, wenn sie sich äußern! - wennn !
Steven |
| Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 15.02.2005 um 12:47 Uhr
|
|
weiss denn jemand was genau der Trojaner verursacht wenn er ausgeführt wird? bin nicht wirklich heiss darauf es zu testen ;)
und man muss mal dazu sagen, woher auch immer der trojaner kommt.. ein kluger schachzug. ich möchte gar nicht wissen wieviele chatworld besucher das ding schon eingefangen haben.. und viele der user sind sicher auch nicht hinreichend geschützt, einige sind ja schon froh das sie überhaupt wissen wie man in den chat kommt.
sicher ist ein kleiner Trojaner kein weltuntergang aber trotzdem ärgerlich.
smoOth |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 24.02.2005 um 00:11 Uhr
|
|
Problem schon mehrfach aufgetreten...
Link
Link
Link
(zitat)1. Der gecrackte Falk-Server lieferte eine kodierte JavaScript Datei, die einen Verweis auf Link enthält. Hinter der IP-Adresse 199.107.184.146 verbirgt sich die Domain 'search.comedycentral.com'.
2. Die Datei 'c.html' ist in Unicode-Format kodiert und enthält den IFRAME Exploit in JavaScript. Sie erzeugt einen Pufferüberlauf und weiteren Shellcode, der die ausführbare Datei aus 3. herunterlädt.
3. Die Datei Link ist der Trojan-Downloader Win32.Smaal.aaq, der sich als bla.exe
in das Rootverzeichnis des Laufwerks C: kopiert. Er lädt den eigentlichen Backdoor-Trojaner von Link (Domainname: 'gamedev.he.net') und führt ihn aus. Danach löscht er die Datei bla.exe.
4. Die Backdoor wird von AVK als Backdoor.Win32.Agent.ec erkannt. Sie kopiert sich als winampa.exe in das Rootverzeichnis von C: und trägt sich in der Registry ein, so dass sie automatisch mit dem Rechner gestartet wird. Sie wartet im Hintergrund auf Verbindungen und erlaubt die vollständige Kontrolle des Rechners. Zusätzlich beendet die Backdoor Sicherheitsprogramme wie Antiviren-Software.(/zitat)
Quelle: Link
Hilfe gibt's hier:
Link
Link
Link
Link
Link
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 24.02.2005 um 01:08 Uhr
|
|
Danke, Black.
Hinweis zur Ehrenrettung: Erwähnte "Falk" ist ein Werbe-Einblender. Die Schuld dort zu suchen, und nicht bei Abacho, liegt also nahe.
Vielen Dank für die übliche Transparenz. ;-)
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 24.02.2005 um 15:14 Uhr
|
|
Na dann verklagen wir eben Falk. Kommt am Ende wenigstens mehr raus muhahaha
Hab die Info mal weitergeleitet.
|
| Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 24.02.2005 um 17:59 Uhr
|
|
Greif mal nem nackten Mann ... *g*
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 24.02.2005 um 19:51 Uhr
|
|
Erst die Anspielung mit dem Foto nun das...
Langsam mach ich mir Sorgen!
 Steven |
| Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 25.02.2005 um 01:20 Uhr
|
|
Tztztz ... das war ein patentgefaltetes Wortspiel:
Das mit der Werbung, das hat der Thomas gemacht. Der ist aber garnicht nackt. Nackt ist nur der Andreas.
Das isser. Und den Andreas, den hat schon jemand verklagt. Weil der Andreas nämlich mal viiiel Geld von anderen Leuten bekommen hat. Und alles ausgegeben.
Das hier, das ist der Udo. Und Leute wie der Udo meinen, daß der Andreas deswegen, also wegen der Sache mit dem Geld, erstmal umziehen sollte. Hat der Andreas dann auch gemacht.
In so einem schönen Haus hat er mal gewohnt, der Andreas. Und da, wo er jetzt wohnt, ist es nicht ganz so schön. Nicht deswegen, weil das Holstenglacis keine so gute Adresse ist, sondern weil dem Andreas jetzt nicht mehr alles gehört.
Der Andreas bekommt nämlich nur ein gaanz kleines Zimmer, wahrscheinlich so eins wie dieses hier. So richtig rausgucken kann man da nicht. Nicht so schlimm, die Alster könnte man von da eh nich sehen. Und weil die Haftprüfungstermine alle schlecht ausgegangen sind, muß der Andreas wohl noch ein Bißchen bleiben.
Eigentlich könnte der Andreas einem ja jetzt leid tun. So ein Bißchen wenigstens. Aber irgendwie hat er ja auch selber Schuld, deswegen tut er das nicht. Schade.
Und dem brauchste die nächsten Jahrzehnte eher nicht in die Tasche greifen. Dem Andreas. ;-)
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 26.02.2005 um 18:49 Uhr
|
|
| Nett zu wissen woher ich dann meine ganzen Trojaner hatte ... ein hoch auf Falk und der Thomas ist niedlich, auch angezogen! |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 26.02.2005 um 23:17 Uhr
|
|
| Ach daher hatte ich das teil.. und darum kam es auch immer wieder... ich hab schon gedacht ich werd irre, weil ich mir nicht erklären konnte wo es her kam... *grmpf* |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 01.03.2005 um 02:53 Uhr
|
|
Also ich hab Firefox und hab jetzt Warnung bekommen.
Ich hab alles popup blockieren und java deaktivieren eingestellt. Falls es über einem popupfenster reinkommt hat es bei mir wohl nicht geklappt :)
-----
knutschert die frisch verheiratete Seija |
------------------------------------------------------------------------------------------------
there is nothing either good or bad, but thinking makes it so. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 01.03.2005 um 21:12 Uhr
|
|
frisch verheiratet
Glückwunsch. Das "niedliche" ist allerdings nicht der Thomas, sondern der Andreas. Und der ist zwar auch verheiratet, aber nach so viel (mhoooooch) Knast vielleicht schon mit dem Werner aus der Nebenzelle untreu geworden.
|
|
|
|
|
|
|
Top
|
Steven
