PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Trojanerwarnung: Website www . bunker - fuchsbau . de



Frank K.
24.12.2011, 16:05
Warnung »

die alte Start-Seite von 'Bunker-Fuchsbau' der IG e.V. / WT-SW steht aktuell unter Verdacht Trojaner weiterzuverbreiten !

Dieses Verhalten wird seit 22.12.2011 beobachtet. Nachdem nun zwei unabhängige Bestätigungen vorliegen diese Info hier dazu. Ich war selbst betroffen.

Es ist ein fieses Teil. Es ist nach der Infektion u.a. im Autostart zu finden als bbtssvdf.exe.

Bitte beachten, daß der Webseiteninhaber nicht zwangsweise dafür verantwortlich ist.

Grüße Frank

Joes
24.12.2011, 16:09
Ich habe es gerade überprüft konnte aber auf der Startseite nichts bemerken.
Möglicherweise eine Unterseite?

Frank K.
24.12.2011, 16:13
Joes,
ja nehme ich dir ab - es ist zu befürchten, dass eine ziemlich gut eingefädelte Vorselektion nach IP Adressen / Räumen stattfindet. Und nein, es trat jedesmal schon beim Aufruf der Startseite auf.

Wie gesagt, es geht nicht darum jemand zu verunglimpfen. Sondern auf das Problem hinzuweisen.

Grüße Frank

Joes
24.12.2011, 16:21
Ich habe mit Safari die Seite geladen, konnte aber nichts finden.
Im Quelltext habe ich aber auch keine Hinweise gefunden. Die Seite wurde am 19. 12. aktualisiert.
Gruß aus Dresden

Frank K.
24.12.2011, 16:29
Tja, es scheint eine Bild-Datei zu sein, die beim Laden entsprechende Schwachstellen bei den MS-Browsern ausnutzt (andere habe ich gar nicht erst getestet). Anschließend ist diese Datei als Windows-Media-Datei gekennzeichnet, obwohl der Typ eigentlich EXE ist.

Wenn man mal unabhängig aller Subjektivitäten bzgl. WT davon ausgeht, dass er schon einmal maßlos gelinkt wurde, wäre es das selbe Muster » man hat ein Bild auf seiner Seite ausgetauscht. Und ich bin mir sicher, das wird man bald da so lesen können.

Grüße Frank

Joes
24.12.2011, 16:39
So viele Bilder sind auf der Startseite aber nicht zu sehen (2).

ZGS14
24.12.2011, 19:27
Frohe Weihnachten in die Runde.
Habe heute Kaspersky unter dem Weihnachtsbaum gefunden, natürlich gleich ausprobiert.
Gruß, Michael

63883

Antivir hat die Seite nicht bemeckert.
-------------------------------------------------------------------------------------------
Noch was im Web gefunden:
http://www.drwindows.de/windows-7-allgemein/16038-virus-heur-trojan-script-iframer.html

Joes
24.12.2011, 19:36
So viel zu dem Thema Windoff.
Frohes Fest

helge
25.12.2011, 01:42
Frohe Weihnachten in die Runde.
Habe heute Kaspersky unter dem Weihnachtsbaum gefunden, natürlich gleich ausprobiert.
Gruß, Michael

63883

Antivir hat die Seite nicht bemeckert.
-------------------------------------------------------------------------------------------
Also ich bin nicht ein PC-Profi.Soweit ich weiß findet nicht jedes Anti-Virus Programm jeden Schädling.
Der Schädling in diesem Fall ein Trojahner kann den PC doch nur befallen,wenn von dieser Seite etwas herruntergeladen wird-ist das richtig ?
Das einfache öffnen der Seiten zum lesen birgt doch keine Gefahr-oder ?

Danke und Gruß helge

Martin K.
25.12.2011, 08:09
Norton verweigert ebenfalls den Zugriff auf die Website.

Die alten Akteure vor Ort sollten die Website endlich abmelden.

BG
Martin

Frank K.
25.12.2011, 09:37
Das einfache öffnen der Seiten zum lesen birgt doch keine Gefahr-oder ?

Doch eben, der einfache (normale) Aufruf der Startseite reicht.

Grüße Frank

gerd
25.12.2011, 11:17
avast blockt die Seite ebenfalls mit entsprechender Warnung.....

Maus
25.12.2011, 11:31
Doch eben, der einfache (normale) Aufruf der Startseite reicht.

DJ,
der Aufruf der Startseite reicht aber nur, wenn JavaScript im Browser aktiviert ist.

Auf der Seite ist ein Script integriert, das zur Laufzeit eine Reihe Zeichencodes in die entspr. Zeichen umrechnet, diese zu einem Link zusammenfügt und den dann in einem unsichtbaren Frame aufruft.
Die Auswahl, ob und was für eine Malware in dieses Frame geladen wird, trifft der dortige Serverrechner. Das kann also zB ein kompromittiertes Bild sein wenn Du mit einem IE unterwegs bist.

Das was von den AV Programmen an der Seite bemeckert wird, ist bereits das eingebundene JavaScript, wegen der verwendeten Verschleierungstechnik als einzelne Zeichencodes.

Anhang: oben das Javascript aus der Startseite Fuchsbau, unten der Link der daraus gebildet und dann aufgerufen wird.

Gruß M.

Frank K.
25.12.2011, 12:34
danke Maus,

ja das von dir beschriebene Vorgehen war so bei mir nachvollziehbar. Dazu zwei Fragen:
(1)
Javascript ? Nach dem Updaten auf MS-IE 9 finde ich diese Option jetzt nach deinem Hinweis auf die Schnelle nicht mehr.
(2)
Wenn es so ist, wie hoch ist die Wahrscheinlichkeit dafür, daß der Seitenbetreiber keine Ahnung davon hat bzw. es sich selbst eingefangen hat ? Du sprichst von einem Script.

Grüße Frank

Maus
25.12.2011, 13:52
DJ,
ich habe den IE9 selber nicht, aber die Internetoptionen sollten da erreichbar sein über das "Zahnradsymbol", dann im ausklappenden Menü "Internetoptionen", da dann Reiter "Sicherheit" und dort Zone "Internet". In der Liste "Stufe anpassen" ist das dann der Eintrag "Active Scripting".
Was der lustige Schieberegler "Sicherheitsstufe hoch-mittel-niedrig" genau bewirkt, weiß ich nicht, sowas stelle ich immer manuell ein.

Da der Hr. Tiede (Edit: und/oder der Hr. Winter) vermutlich möchte, daß Leute seine Seite lesen, halte ich es für sehr unwahrscheinlich (nahe null), daß er so einen Viruslader in seinen Quelltext eingefügt hat. Ob er das programmiertechnisch überhaupt könnte, lasse ich mal dahingestellt weil: kann ich nicht beurteilen da ich ihn nicht kenne. Seine Seite ist allerdings mit MS Frontpage erstellt, das ist eher ein Zusammenklick-Tool wenn man sich technisch nicht so auskennt.

Wie das Script in den Quellcode kam kann ich nicht sagen, das reicht von einem Sicherheitsleck im Server bei der Fa. Strato bis zu einem nicht wohlgesonnenen Mitwisser seines Admin-PW.

Die Startseite wurde übrigens am 21.12. 22:05:30 GMT zuletzt geändert, das deckt sich mit Deinem ersten Auftreten am 22.12. Ich habe nicht restlos alle Unterseiten da jetzt aufgerufen, aber das Virusladescript scheint nur in der Startseite eingefügt zu sein.

Gruß M.

Frank K.
25.12.2011, 14:42
Maus,
stimmt (natürlich) so, diese Optionen sind da beim IE9 zu finden. Obwohl ich zuvor einen Reiter woanders gesucht hatte. Die Option 'Active Scripting' selbst gibt es noch und gut 50 andere. Bei den Meisten kann man mit 'Aktivieren | Bestätigen | Deaktivieren' wählen :dread:

Wenn ich 'Active Scripting' deaktiviere, kann ich hier nicht mehr normal mit dem Editor arbeiten.

Grüße Frank

Maus
25.12.2011, 15:19
Wenn ich 'Active Scripting' deaktiviere, kann ich hier nicht mehr normal mit dem Editor arbeiten.

Richtig, ohne JavaScript gehen so einige Funktionen nicht, je nach Webseite mal mehr mal weniger. Anderes Bsp: bei Google die Vorschlagsliste, die versucht zu raten was man schreiben will.
MS verwendet übrigens den Namen "JavaScript" nicht, weil der Name eine reg. Marke von Oracle ist, die eine Technologie entwickelt von Netscape bezeichnet :)

Anmerkung, beim Text des gebildeten Links hatte ich mich in der Tabelle verkuckt, das muß natürlich ".com" heißen im Screenshot oben (bemerkt von elexx)

Gruß M.

Maus
25.12.2011, 16:02
Ergänzung noch dazu, das Ganze ist eine größere Infektionswelle über diverse Webseiten, hat also nichts "persönlich" mit dem Fuchsbau zu tun.
Der Satz mit dem Ausrufezeichen bestätigt meine These weiter oben: daß der Server auf dem die Malware lagert entscheidet, ob und was genau er (zB je nach Browserversion) zurücksendet.

Frank K.
25.12.2011, 16:20
Maus, danke nochmals,

dh. es wird im IE9 mit normalen (Standard-)Einstellungen des Browsers gearbeit. Ich habe alles gerade zurückgestellt. Das als Hinweis für die anderen hier Mitlesenden.

Wie kann das dann funktionieren. Das System bei Strato (hier offenbar im aktuellen Fall) ist selbst verseucht und schiebt je nach Gusto einzelnen Nutzer-Content irgendwas in seinen Quelltext (HTML-Code) unter.

Also auf deutsch » Der Inhalt meiner Webseite könnte auch unabhängig von meinen Willen da bei dem Hoster meines Vertrauens (ist er nicht) manipuliert werden ?

Grüße Frank

Joes
25.12.2011, 16:46
Ich habe gerade die Säte vom Fuchsbau (alt) neu aufgerufen. Verdächtig ist die lange Ladezeit. Nach über einer Minute war die Seite immer noch nicht geladen. Dies deutet auf eine hohe Aktivität des Servers hin. Offensichtlich ist ein Bereich eines Servers betroffen. Ein Bekannter hat auch bei Strato Webspace gehostet, Er kennt dieses Problem. Da kann es schell mal passieren, das alle auf dem Server gehosteten Seiten ein Problem bekommen. ich würde das Problem als eher bei Strato suchen.

Maus
25.12.2011, 20:17
Verdächtig ist die lange Ladezeit. Nach über einer Minute war die Seite immer noch nicht geladen. Dies deutet auf eine hohe Aktivität des Servers hin.
Joes,
nein das deutet darauf hin, daß der Admin von Motion Control Robotics Inc (mcri-us.com) die Virenschleuder auf seinem Rechner außer Betrieb gesetzt hat :)

Die lange Ladezeit kommt vom (mittlerweile erfolglosen) Versuch, die Virenadresse in den 2. Frame zu laden, siehe Anhang blau markiert.

Gruß M.

Maus
25.12.2011, 20:48
Wie kann das dann funktionieren. Das System bei Strato (hier offenbar im aktuellen Fall) ist selbst verseucht und schiebt je nach Gusto einzelnen Nutzer-Content irgendwas in seinen Quelltext (HTML-Code) unter.
DJ,
System bei Strato eher nicht verseucht, wahrscheinlicher sitzt irgendjemand da und läßt wahllos Domains aufrufen und die Servereinstellungen auf Schwachstellen checken. Wenn gefunden wird da dann je nachdem entweder Code eingetragen der anderswo was abruft (zB Fuchsbauseite) oder in einem Unterordner Zeug abgelegt auf das dann von anderswo verlinkt wird (mcri-us und andere, siehe oben Google-Screenshot).


Also auf deutsch » Der Inhalt meiner Webseite könnte auch unabhängig von meinen Willen da bei dem Hoster meines Vertrauens (ist er nicht) manipuliert werden ?
Natürlich geht das. Wir beide können sowas nicht ohne weiteres, aber es gibt Leute bzw. Software, die das können.
Als Bsp sei erinnert an die Webseite des Sony Playstation Network, von der 90 Mio Kundendaten gestohlen wurden, oder zB wenn man ab und an liest, "Anonymous" o.ä. habe diese oder jene Webseite "gekapert" "gehackt" oder "defaced".

Bsp für letzteres: "Anonymous legt GEMA-Seite lahm"
Meldung von heise Security, Screenshot beachten
http://www.heise.de/security/meldung/Anonymous-legt-GEMA-Seite-lahm-1327285.html

Dokumentation des GEMA-Hacks als Bilddatei
http://img6.imagebanana.com/img/y9w4hc23/calvin.png
Die Angreifer hatten hier Zugriff bis runter zum Admin Control Panel der Serverhardware (Screenshot DELL), und haben nicht nur die Webseite geändert, sondern u.a. "weil sie's konnten" mal eben auf den Bürodruckern der GEMA Zeug ausgedruckt. Wie Du siehst, geht vieles.

Gruß M.

Maus
25.12.2011, 22:08
Verdächtig ist die lange Ladezeit. Nach über einer Minute war die Seite immer noch nicht geladen. Dies deutet auf eine hohe Aktivität des Servers hin.

Joes,
hier nochmal deutlicher zu erkennen: wenn man den vorher unsichtbaren Frame mal anzeigt (siehe linke Spalte: Breite und Höhe des iframe-Tags vergrößert), zeigt sich woran die lange Ladezeit liegt. Die in den Frame eingebundene Seite, die die Viren liefern sollte, antwortet nicht mehr.

Gruß M.

EK 85/I
26.12.2011, 01:19
Maus,

sehr gut. Schön, das hier über Funktion & Hintergründe (der Prog-Technik) informiert wird.
Sehr gute Arbeit. Danke.

Kjeld

Joes
26.12.2011, 09:44
In dem Bild ist deutlich der Server zu erkennen. Offensichtlich ein Windows Problem. Ich selber verwende Safari auf einem Mac und da ist im Quelltext nichts zu erkennen. Jedenfalls ist dieser Script dort auf der Webseite nicht zu finden.

Maus
26.12.2011, 10:45
In dem Bild ist deutlich der Server zu erkennen. Offensichtlich ein Windows Problem. Ich selber verwende Safari auf einem Mac und da ist im Quelltext nichts zu erkennen. Jedenfalls ist dieser Script dort auf der Webseite nicht zu finden.

Joes,
sorry aber Du sprichst komplett in Rätseln.

In welchem Bild ist welcher Server zu erkennen?
Was ist ein Windows-Problem?
In welchem Quelltext kannst Du was nicht erkennen?
Welches Script auf welcher Webseite ist nicht zu finden?

Gruß M.

Frank K.
26.12.2011, 11:32
Joes war wohl erstaunt den Server im Klartext im Bild zu sehen und er fand ein Script nicht im Quelltext der Startseite von Bunker-F. Letzteres hatte er schon einmal so gepostet.

Das (fiese) Script ist lesbar im Quelltext. Gerade mit dem Cache von G. überprüft (der ist am 24.12. zuletzt gesetzt worden). Dank @Maus seinen Hinweisen kann man das ja jetzt relativ gefahrlos machen.

Grüße Frank

Joes
26.12.2011, 14:34
Joes,
hier nochmal deutlicher zu erkennen: wenn man den vorher unsichtbaren Frame mal anzeigt (siehe linke Spalte: Breite und Höhe des iframe-Tags vergrößert), zeigt sich woran die lange Ladezeit liegt. Die in den Frame eingebundene Seite, die die Viren liefern sollte, antwortet nicht mehr.

Gruß M.
Als Bild meinte ich das Bild in diesem Beitrag. Ich habe im Safari mir den Quelltest anzeigen lassen, dort ist dies nicht zu sehen. Eine nachladen dieser Seite funktioniert bei mir nicht. Ich verwende ein Macbook mit Safari. Vieren sind mir nicht bekannt!!! Offensichtlich funktioniert dieser Virus nur mit Windows.

Maus
26.12.2011, 16:09
Als Bild meinte ich das Bild in diesem Beitrag. Ich habe im Safari mir den Quelltest anzeigen lassen, dort ist dies nicht zu sehen..

Joes,
was Du dort siehst, ist ein Web Developer Plugin in Firefox, mit dem ich u.a. live den Quellcode einer angezeigten Webseite ändern kann. Genau das habe ich da gemacht (und auch extra so geschrieben): ich habe das unsichtbare Frame von Höhe und Breite 0x0px auf 600x300px vergrößert dargestellt, damit man sehen kann was darin steht. Bei der Originalgröße 0x0px, wie auf der Fuchsbauseite eingebunden, ist der Inhalt naturgemäß nicht sichtbar.

Den Code iframe src=... kannst Du im Quelltext nicht finden, der wird erst zur Laufzeit gebildet und ins Dokument eingefügt. Hatte ich weiter oben schon mal geschrieben in Beitrag #13.

Was Du im Quelltext sehen kannst, und das muß auch auf einem Mac zu sehen sein da es derselbe Quelltext ist, ist das Script, daß diesen iframe-Code erst erzeugt, siehe Anhang Quelltext.

Gruß M.


PS Für den Mac gibt es tatsächlich sehr wenige Viren. Das liegt an dem vglw. minimalen Marktanteil des Mac OS. Der Aufwand Schadsoftware zu entwickeln für ein System das fast niemand verwendet, ist einfach zu groß als daß sich das lohnen würde.

Frank K.
26.12.2011, 16:53
Was Du im Quelltext sehen kannst, ... , ist das Script, daß diesen iframe-Code erst erzeugt, siehe Anhang Quelltext.

Kann ich nur unterstützen und davon kann sich jeder eigentlich auch leicht überzeugen, siehe #27.

Aber erstmal muß der Code des Scriptes überhaupt dorthin gelangen.

@Maus: macht es denn einen Sinn den zugehörigen Server (die Viren-Schleuder) abzuschalten und weiterhin dynamisch Scripts zu verteilen, so wie hier möglich. Oder die andere Variante: das Script ist halt im Quelltext drin, warum auch immer.

Grüße Frank

Maus
26.12.2011, 17:22
Aber erstmal muß der Code des Scriptes überhaupt dorthin gelangen.
Der ist ja schon dahin gelangt, und zwar wurden die 2 Zeilen am 21.12. abends da eingefügt (in die Datei index.htm). Und die liegt jetzt solange incl. den 2 Zeilen Script da, bis die Hrn. Tiede/Winter ihre Originaldatei wieder hochladen wie sie vorher war.


macht es denn einen Sinn den zugehörigen Server (die Viren-Schleuder) abzuschalten und weiterhin dynamisch Scripts zu verteilen, so wie hier möglich.
Der Admin von mcri-us hat vmtl. auf seinem Webserver die dort lagernden Viren entdeckt (also sowas wie einen Ordner mit 1 .cgi und 180 .exe u.ä. Dateien die er dort nicht hingelegt hat), und hat sie einfach gelöscht. Deshalb kommt von da nun keine Antwort mehr. Das löscht aber nicht automatisch auch den Scriptaufruf auf der Seite Fuchsbau (u/o evtl anderen von wo auch so ein Script nach mcri-us verlinkt hatte), das müssen deren jew. Betreiber schon selber machen.

Gruß M.

Joes
27.12.2011, 04:10
Diesen Script konnte ich ebenfalls lesen. Nur konnte mein Rechner nichts damit anfangen.

sq7
27.12.2011, 06:56
Kann es sein das seit ein paar Tagen auch Foren Ziel von Angriffen sind?
Bin in einem Forum Angemeldet das auch seit ca. dem 21.12 durch Spam Dicht gemacht wird, seit dem sind auch ca. 450 neue
Mitglieder mit Schrottnamen Angemeldet und ständig kommen neue Beiträge die kein Schwein Lesen kann dazu.

ZGS14
28.12.2011, 17:19
Hallo "helge",

ich bin auch nicht der Profi zum Thema, aaaaber:
Wenn man Seite xy mit Bilder als Inhalt aufruft, werden die Bilder vom Browser automatisch mitgeladen.
Falls Virus im Bild versteckt ist, die Sicherheitssoftware dies nicht erkennt, A-Karte gezogen.

Euch allen einen guten und unfallfreien Rutsch.
Gruß, Michael

----------------------------------------------------------------------------------------------
Ich habe zur täglichen Datensicherung auf externe Festplatte eine DOS *.bat Datei programmiert.
Die wurde von "Kaspersky" sofort bemeckert.
Manche Meldungen sollten also nicht zu ernst genommen werden
bzw. die Warnmeldungen recherchieren.

ZGS14
28.12.2011, 17:24
Huch,
habe die zahlreichen Beträge zum Thema erst nach der 2. Anmeldung gelesen.
Habe ich jetzt ein Problemchen ?
Gruß, Michael

Frank K.
28.12.2011, 17:28
Micha,
das Thema ist so im Prinzip durch. Nochmal » das Script ist im Quelltext der Startseite da so enthalten. Selbst wenn es jetzt rausgelöscht wäre, ist es derzeit noch im Cache von Tante Goo. lesbar. Weil deren Automat gerade am 24.12. zufällig es so abgespeichert hat.

Das nächste war, wenn man die Seite mit Standardeinstellungen des Browsers aufrief und keine weiteren persönlichen Vorsichtsmaßnahmen zu laufen hatte (wie guten AV-Scanner wie du, wie Safari-System von Joes) infizierte man sich.

Infizierte deshalb weil der betreffende Inhalt des Servers, den das Script aufrief wohl um den 25.12. gecancelt wurde.

So wie du schriebst, geht es auch, war es aber nicht.

Grüße Frank

PS: habe deinen zweiten Beitrag gerade gelesen » ist schon ok

ZGS14
28.12.2011, 17:41
Hallo Frank,
bitte noch einmal die #35 durchlesen.
Ich habe es ignoriert mich anzumelden, klick auf "Forum" ...., dann zum Wunschthema ..
Bin eben doch etwas blond :-))
Gruß, Michael

Joes
28.12.2011, 18:11
Hallo Frank,
war dieses Script eigentlich ein Problem für den IE oder für alle Browser, welche mit Windows liefen?
In diesem Quelltext war kein Link auf eine Seite. Welche Lücke wurde dort ausgenutzt?
Gruß aus Dresden

Frank K.
28.12.2011, 18:36
Joes,
genaugenommen ist es ein Problem für alle Browser bzw. Systeme. Deines gehört zu den besser geschützten oder auch besser programmierten, daher für dich auch kein Problem. Ich hatte es mit Windows und IE & FF probiert.

Scripte sind an sich auch kein Problem, die sind normalerweise zu hauf im Quelltext drin. Auch auf meiner Seite. Sie werden ständig gebraucht (und bitte nicht mit Java an sich verwechseln), auch hier im Forum / im Editor.

Das war ein besonders fieses Script »
erstens getarnt durch die Abfolge von normalen Tastaturzeichen, die erst nach dem Seitenaufruf zu einem Weblink zusammengebaut wurden. Dieser ist im Klartext nicht zu erkennen, diesen haben nur Profis erkannt (@Maus). Dieser Aufruf lud etwas völlig unkontrolliertes herunter - den Virus/Trojaner. Man hätte es auch manuell via die Tastatur eingeben können als Link. Wer sich der Mühe unterziehen möchte » man braucht nur die Zahlen im Script der Reihe nach in einer ASCII-Zeichentabelle zu suchen und zu notieren. Man erhält (erst) dann als Klartext den oben mehrfach stehenden Link. Er ist also codiert.

zweitens » gute AV-Programme bzw dein Safari-Browser haben (offenbar) genau diese mögliche Fiesheit (also den Aufruf eines externen Linkes der nicht offengelegt war) erkannt und es so gemeldet. Dein System hat sich wohl gar nicht darum geschert und den Script nicht ausgeführt, also für dich im grünen Bereich. Vllt hast du auch Log-Dateien wo du dies Nachlesen kannst.

Das kann man ja hier anhand der unterschiedlichen Meldungen nachvollziehen. Du hast u.a. aktuell den Nachweis erbracht, daß das Safari System derzeit wohl noch am Sichersten ist. Ja.

Daher danke ich ja auch allen für die aktive Mitarbeit, es war ein Worst-Case-Szenario. Warum auch immer. Das können wir hier nicht bewerten.

Grüße Frank

Joes
28.12.2011, 18:57
Hallo Frank,
vielen Dank für diese Erklärung. Das Thema Sicherheit auf einem Windows Rechner ist immer ein Problem. Deswegen bin ich auf Mac umgestiegen. Immer diese Virenschutzprogramme und dieses ständige Updates haben einfach genervt. Jedenfalls kenne ich diese Probleme nicht mehr. Auch verwende ich keinen Vierenscanner. Der Kaspersky für Mac ist nichts weiter als eine Datenbank mit Windows Vieren. Diese werden im System gesucht, können aber keinen Schaden anrichten.
Danke

Maus
28.12.2011, 22:46
Du hast u.a. aktuell den Nachweis erbracht, daß das Safarie System derzeit wohl noch am Sichersten ist. Ja.
Nein :)

DJ,
zutreffend ist eher: Es gibt Systeme (Mac OS und Linux zB), für die weniger bis keine Viren im Vergleich zu solchen für Windows existieren. Das liegt aber nicht daran, daß diese Systeme per se "sicherer" sind. Es lohnt sich für Malwareautoren einfach nicht, Viren für diese Systeme zu entwickeln, da der Marktanteil zu klein ist.
Warum sollte man Viren entwickeln für Systeme, die statistisch nur jeder 100. Besucher überhaupt verwendet - wenn man mit dem gleichen Aufwand seinen Virus auf ein System zuschneiden kann, das 90% aller Besucher verwenden?


Daher danke ich ja auch allen für die aktive Mitarbeit
Keine Ahnung woher, aber Strato scheint von der Sache Wind bekommen zu haben und hat offensichtlich die Seite jetzt komplett gesperrt.

Gruß M.

ZGS14
02.01.2012, 18:17
Guten Abend die Runde,
die Sperre von Strato ist nicht mehr aktiv, "mein" Kaspersky meckert immer noch.
Gruß, Michael

Frank K.
02.01.2012, 18:42
Das Skript ist auch immer noch auf der Startseite wie gehabt vorhanden.

Grüße Frank

vossi
02.01.2012, 20:35
http://bunkeranlage-fuchsbau.de/vorwort.htm Das ist der richtige link die scheinen sich richtig lieb zuhaben

Frank K.
02.01.2012, 20:42
vossi,
daher steht ja auch im Beitrag #1 'alte' Webseite. Lieb haben sie sich auch, verständlich. Es sind zum Großteil die gleichen aktiven Personen, damals & jetzt.

Grüße Frank

ZGS14
02.01.2012, 21:03
Hallo "vossi",
eine Internetseite vergrault potentielle Besucher mit Halbwahrheiten,
die von Dir dargestellte Seite ist die seriöse Variante.
Gruß, Michael

Frank K.
02.01.2012, 21:06
Ich bitte trotzdem zu beachten, daß wir hier bei der Trojaner/Viren-Warnung sind. Für so etwas haben wir u.a. den allgemeinen Fuchsbau-Thread.

klausm
03.01.2012, 00:57
Beim Thema IT-Sicherheit ist nicht nur entscheidend welche Software man verwendet, sondern vor allem, über welches Know-How man verfügt bzw. wie gut man informiert ist. Das es da manchmal hapert merkt man auch beim Lesen entsprechender Threats. Da werden immer wieder gerne die platten Allgemeinaussagen hergebetet, na ja... IT-Sicherheit funktioniert wirksam nur als aufeinander abgestimmtes Maßnahmenbündel, mit dem Einsatz eines Schutzprogramms gegen Schadsoftware oder dem Wechsel des Betriebssystems ist es noch lange nicht getan.
Wer weiß, was er tut (und auch wie er es tut) kann auch mit Windows im Internet unterwegs sein ohne ständig Angst haben zu müssen. Wenn man beispielsweise den Firefox als Browser einsetzt, kann mit mit einigen nützlichen Plugins den möglichen Gefahren begegnen und schließt so auch die Lücke die die signaturbasierte Schadsoftwareerkennung nun mal immer wieder besitzen kann, genannt seinen hier NoScript und Flashblock. Dann sollte man die vorhandenen Sicherheitsfeatures des Betriebsystems auch nutzen und dafür sorgen, dass nicht nur das OS, sondern alle Programme und Plugins immer aktuell sind (hier sollten sich Windows-Nutzer mal das Programm PSI von Secunia ansehen, das kann hier sehr nützlich sein). Tja und zum Thema gecrackte Software muss man denke ich auch nichts sagen.
Das Know-How alleine nutzt aber auch nichts, wenn man es nur halbherzig anwendet.
Safari als den sichersten Browser zu deklarieren würde ich mal mit einem großen Fragezeichen versehen.
Das Windows als das OS mit dem höchsten Verbreitunsgrad bisher stark im Fokus der Schadsoftwareprogrammierer stand stimmt zwar, dass man mit anderen OS das Thema einfach abhaken kann, ist aber ein Trugschluss: http://support.apple.com/kb/HT1222?viewlocale=en_US
Mit der immer stärkeren Verbreitung des Apple Produkte wird sich der Fokus ganz klar verschieben, begünstigend wirkt hier das häufig zu beobachtende weniger ausgeprägte (oder nicht vorhandene) Sicherheitsbewusstsein der MacUser. Ein lukratives Angriffsziel sind zukünftig die OS der Smartphones, denn hier sieht es mit Schutz und Aktualität häufig so richtig mau aus.

Gruß Klaus

Joes
03.01.2012, 18:51
Hallo Klausm,
in den beschriebenen Punkten gebe ich Dir vollkommen Recht. Bisher ist es eben so, dass bestimmte Betriebssysteme stärker von Vieren betroffen sind. Gerade bei den Themen Smartphones sollte man immer darauf achten, welche App man sich von wo installiert.
Auf der Webseite kann ich im Quelltext das erwähnte Javascript wieder erkennen. Es fehlt aber der Link auf den bewussten Server.
Somit dürfte zumindest ein laden eventueller Vieren nicht erfolgen.
Gruß

ZGS14
04.01.2012, 19:44
Guten Abend in die Runde.
Lt. Info auf betreffender Internetseite, wurde diese mal wieder "gehackt".
Habe hier keinen Smiley für "Verarschung" gefunden.
Egal, ein "Meister der Halbwahrheiten" ist wieder online.
Gruß, Michael