kingmattes Geschrieben 11. November 2011 Melden Share Geschrieben 11. November 2011 (bearbeitet) Ich klicke auf einen Link* und gelegentlich erscheint dann statt dem gewünschten Thread ein Fenster mit einen Fake-Virenscan. Dieser will mir dann eine kleine EXE-Datei namens scandsk.exe unterjubeln. Die Virenscanner Clamwin und Eset behaupten mein Rechner sei sauber. Eset sagt bei der ominösen Seite: HTML/TrojanDownloader.FraudLoad.NAC Trojaner * EDIT\ Soeben wieder passiert, beim Klick auf "Thema erstellen". bearbeitet 11. November 2011 von kingmattes Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
pelzi Geschrieben 11. November 2011 Melden Share Geschrieben 11. November 2011 da ist was im Argen .. die Admins wissen bescheid .. schau mal weiter unten ..ist also bekannt Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
kingmattes Geschrieben 11. November 2011 Autor Melden Share Geschrieben 11. November 2011 ..ist also bekannt Dass versucht wird ein Trojaner zu platzieren? Ich lese da nur was von Anmeldeproblemen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
merkwuerden Geschrieben 11. November 2011 Melden Share Geschrieben 11. November 2011 Von einem Trojaner ist bisher nicht die Rede, nur von dieser gefakten Virenfundmeldung mit Download dieser scandsk.exe. Auch das ist bekannt und an die Administration gemeldet. Wird vermutlich so ein Nutzlos-Schrott sein, der sich in sämtliche Autostart-Möglichkeiten einnistet, damit man es ja nicht mit einfachen Mitteln wieder los wird, und dann permanent mit falschen Virenmeldungen um sich schmeißt, die angeblich mögliche Säuberung selbstverständlich fehl schlägt, und dann ein Knopf erscheint, dass man zum Säubern ein noch viel nutzloseres Tool kaufen müsste. Diese ominöse scandsk.exe wird bei virustotal .com derzeit bei 4 von 43 Scannern gemeldet, dass die Datei verdächtig sein könnte. Mein lokaler Scanner Rising meldet dagegen nichts Verdächtiges, und der ist eigentlich recht pingelig mit Warnungen. Allerdings dürfte der eigentliche Schadcode auch sehr gut getarnt in der EXE versteckt sein (ich hab da mal reingesehen), so dass er von einem Virenscanner oder Wächter nicht beim Scannen der Datei selbst erkannt wird, sondern erst bei der Ausführung der Datei zur Wirkung kommt. Und dann is es u.U. zu spät. Es dürfte allerdings mit ziemlicher Sicherheit Schrottware, Malware und/oder eventuell sogar Trojaner nachgeladen werden, wenn man diese scandsk starten würde. Also tunlichst die Finger davon lassen! Faktum ist aber die Boardsoftware ziemlich sicher wieder mit irgendwas kompromittiert worden. Wundern tut es mich übrigens nicht, mit jeder neuen Version der Software kommt mehr von diesem Script-Schrott ins Spiel, und je mehr davon, um so anfälliger wird die Software dann eben. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
MacFco Geschrieben 11. November 2011 Melden Share Geschrieben 11. November 2011 (bearbeitet) Ich klicke auf einen Link* und gelegentlich erscheint dann statt dem gewünschten Thread ein Fenster mit einen Fake-Virenscan. Dieser will mir dann eine kleine EXE-Datei namens scandsk.exe unterjubeln. Die Virenscanner Clamwin und Eset behaupten mein Rechner sei sauber. Eset sagt bei der ominösen Seite: HTML/TrojanDownloader.FraudLoad.NAC Trojaner Hab ich hier auch! http://www1.powerbfsecurity.rr.nu/... Und hier wird wohl versucht umzuleiten, wenn man einen Link in den Editor kopiert: [url="http://www.keywelt-board.com/index.php?/topic/165854-cool-neo-oscammgcamd/unread/"]http://www.keywelt-b...mmgcamd/unread/[/url] <script src="http://sweepstakesandcontestsinfo.com/tt.php"></script> EDIT: Die scandsk.exe ist, so wie es aussieht, in sich verschlüsselt. bearbeitet 11. November 2011 von MacFco Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
kingmattes Geschrieben 11. November 2011 Autor Melden Share Geschrieben 11. November 2011 Von einem Trojaner ist bisher nicht die Rede Mein Eset-Scanner hat den Begriff Trojaner in den Raum geworfen. Hier mal ein Screenshot, für Leute, die nicht wissen worum es geht: Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
merkwuerden Geschrieben 11. November 2011 Melden Share Geschrieben 11. November 2011 Über die URLs bzw. die Details dazu braucht man sich übrigens keine weiteren Gedanken zu machen, da gibt es nur eine einzige Gemeinsamkeit: .rr.nu, der Rest ist immer unterschiedlich. Dürfte wohl eine ganze Sammlung sein. Bzw. über den Script-Server dynamisch generiert werden. Dieser wird nämlich regelmäßig abgefragt. Wohl um zu sehen, ob man den Fake-Scanner in der aktuellen Sitzung schon mal angedreht bekam. Ich kriege den nämlich nur einmal, dann ist Ruhe, solange ich das Forum offen halte und die IP nicht wechselt. Der Script-Server wird trotzdem immer wieder mit abgefragt, sieht man auch bei Opera in der Statuszeile. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Admin Papa Schlumpf Geschrieben 11. November 2011 Admin Melden Share Geschrieben 11. November 2011 Also das Board war mit dem gleichen Script kompromittiert wie das letzte Mal, allerdings konnte ich das diesmal schneller bereinigen, weil sich das Script nur noch im Board-Cache ausbreiten konnte. Einfallstor war wiederum der Upload eines speziellen Avatars als Profilbild, folglich habe ich das erst einmal wieder abgeschalten... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
imi8mm Geschrieben 9. April 2012 Melden Share Geschrieben 9. April 2012 Hallo , jetzt weiß ich auch warum ein " Bild als Avatar hochladen " nie klappt ! imi8mm Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
miro17 Geschrieben 5. Mai 2012 Melden Share Geschrieben 5. Mai 2012 kann man jetzt ein Avatar hochladen? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Admin Papa Schlumpf Geschrieben 5. Mai 2012 Admin Melden Share Geschrieben 5. Mai 2012 Das mit Avatar hat ja erstmal nichts mit der Board-Version zu tun, sondern mit der Frage ob man das mögliche Sicherheitsloch wieder aufmacht Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Empfohlene Beiträge
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.