trojaner vom forum verteilt

[SieNanntenIhnK4]

Ich kann euch jedenfalls versichern, dass hier keineswegs einfach zugeschaut wurde - es ist eigentlich absurd, das anzunehmen.

Naja: Ich hatte das um 15:58 im irc gemeldet; anderthalb Stunden später war die Seite samt Trojaner immer noch online. Der Schritt, dass Forum aus Sicherheitsgründen mal Offline zu nehmen, hätte vielleicht ein wenig früher passieren können.

 

[Aki-Akw]

Nachdem das Problem ja jetzt gelöst ist, sollte man sich darüber Gedanken machen, wie man solches in Zukunft verhindern kann und wie man bei einem möglichen neuen Vorkommnis besser und/oder schneller reagieren könnte.

Die Frage, die man sich jetzt zuerst stellen sollte, ist : Wie konnten Schädlinge auf die Seite gelangen ?
Da sind die Techniker gefragt, das betrifft uns weniger. Gleiches gilt für die Frage, wie sich so etwas in Zukunft verhindern/erschweren lässt.

Für uns wichtig und deshalb als konstruktive Kritik an die Mods gerichtet :

Information ist das A und O bei solchen Dingen, vor allem schnelle Information. Selbst ein kurzer Hinweis auf ein Problem und das daran gearbeitet wird, ist besser, als vergleichsweise lange nichts zu sagen.

Den Zugang zum Forum vorübergehend zu blockieren, war richtig. Allerdings konnte man über Lesezeichen das Forum trotzdem erreichen. Da wäre eine komplette Abschaltung wohl die sichere Alternative gewesen.

Was ich jetzt allerdings sehr vermisse, ist eine E-Mail Benachrichtigung an die User, das es ein Problem mit der Webseite gab und man sicherhaltshalber das Passwort ändern sollte. Und falls man das selbe PW blöderweise auch für andere Sachen verwendet, die natürlich gleich mit
Das ist eigendlich das Pflichtprogramm, wenn es Indizien gibt, das eine Webseite durch Dritte korrumpiert wurde.

 

[HorstSchlemmer]

Bevor jetzt hier weiter spekuliert wird, was los war, würde ich Vorschlagen, dass ihr einfach mal abwartet.
Die Datenbank mit den Nutzerdaten (und allen anderen Sachen wie Posts etc.) ist hiervon überhaupt nicht betroffen...

 

[Slayer]

Ich muss hier wohl auch die Betreiber verteidigen, wenn man so halbwegs ne Ahnung davon hat, dann weiß man, dass es bei mancher bekannter Sicherheitslücke noch kein Update gibt. Backup einspielen dauert auch ne Zeit, da man ja überprüfen muss ob es überhaupt korrekt funktioniert.

Das kann nahezu jeder Website passieren und eigentlich sollte auch jeder hier nen Virenschutz installiert haben.

Höchst sensible Daten wird ja hier sowieso fast keiner haben, glaube zumindest nicht dass hier irgendjemand seine Bankdaten im Profil hat ^^


Allerdings muss ich doch eines sagen, ein bisschen Information was los ist wäre schon angebrachte gewesen.



mfg Slayer

 

[Shihatsu]

Die Frage, die man sich jetzt zuerst stellen sollte, ist : Wie konnten Schädlinge auf die Seite gelangen ?
Da sind die Techniker gefragt, das betrifft uns weniger. Gleiches gilt für die Frage, wie sich so etwas in Zukunft verhindern/erschweren lässt.

Diese Frage war gestern gegen 18:00 hinreichend beantwortet. Erschweren lässt sich das bei der Art der Infektion nur sehr schwer, denn in diesem fall hats jemanden erwischt, der hinter hohen Mauern sitzt, der sämtliche sicherheitsvorkehrungen getroffen hat die otto-normal-user nichtmal ansatzweise kennt, der immer vorsichtig war. genatzt, hat alles nichts gebracht, traurige realität ist das es mitlerweile schädlinge gibt die über so abstruse angriffsvektoren kommen das man sich dagegen nicht mehr 100% schützen kann. nichtsdestotrotz werden der / die betroffenen hoffentlich alles dafür tun, das das nicht wieder passiert.

 

[Nai]

einer offiziellen stellungsnahme möchte ich nicht vorweggreifen, aber dennoch möchte ich eins schonmal sagen: niemand hat hier die hände in den schoß gelegt oder die meldungen nicht ernst genug genommen.
das problem wurde umgehend bearbeitet, und zwar von einem ganzen kontingent an leuten.

es ist schaden entstanden, das ist wahr. es wurde ein trojaner eingeschleust und jeder sollte sein system scannen um auszuschließen, dass man sich das ding eingefangen hat. auch und vor allem diejenigen, die keine warnmeldung erhalten haben, denn das bedeutet, das ihr system nicht ausreichend geschützt war.

ich gehe davon aus, dass jeder von euch schonmal irgendwann einen virus auf dem heimischen pc hatte. und so ist es auch hier passiert, und zwar trotz aller vorsichtsmaßnahmen. das problem wurde nicht durch fahrlässigkeit verursacht. nichts destotrotz kann ich den ärger natürlich verstehen - uns allen gehts nicht anders.

 

[Caligula]

Also bei mir warns ein paar mehr. Vielleicht hilfts ja jemandem:

C:\Dokumente und Einstellungen\user\Startmenü\Programme\Autostart\siszyd32.exe
C:\Dokumente und Einstellungen\user\Anwendungsdaten\avdrn.dat
C:\Windows\system32\fjhdyfhsn.bat
C:\Windows\system32\mobscapp.dll
C:\Windows\Prefetch\~TM183.TMP-313BE6EF.pf
C:\Windows\Prefetch\~TM184.TMP-1DC2F6C3_pf
C:\Windows\Prefetch\~TM186.TMP-32F64635_pf

Die erstgenannte Datei wurde bei mir sowohl im Explorer, als auch über die Konsole nicht angezeigt. Unter Linux dann aber doch. Im abgesicherten Modus sollte es allerdings auch funktionieren, falls grad kein Linux zur Hand ist.
Die dritte versucht anscheinend die exe des verwendeten Browsers zu löschen.
Nummer vier wird zeitgleich mit den anderen erstellt und ist bei virustotal.com bekannt.

Und ich denk mal, das sind noch lange nicht alle. Dann wohl auch noch Registryeinträge usw...

Ich war auch nur hier im Forum unterwegs, als AntiVir plötzlich nen Trojaner meldete --> löschen. Tja, gelöscht wurde er ja offenbar nicht, dafür stieg meine Prozessorauslastung auf 100% (svchost.exe).
--> Netzwerkkabel entfernt.

Inzwischen ist zumindest die hohe Prozessorauslastung weg und es sollte sich eigentlich nichts mehr beim hochfahren starten. Bin jetzt mit ner Ubuntu Live-CD online und schwer am überlegen, ob ich das System nicht gleich neu aufsetzen soll und/oder zumindest alle meine Passwörter ändere (ist zumindest die sicherste und evtl. auch die schnellste Lösung).

Schönen Feiertag noch


Edit:
Fast vergessen zu erwähnen, dass sich die ursprünglich heruntergeladene Datei(en) unter "C:\Windows\Temp" eingenistet hatten. Irgendwas mit "~***.tmp". Wurden natürlich auch entfernt.

Vielen Dank für die Liste, dank dir konnte ich die C:\Dokumente und Einstellungen\user\Anwendungsdaten\avdrn.dat ausmachen, die hatte ich noch gar nicht entdeckt.

C:\Dokumente und Einstellungen\user\Startmenü\Programme\Autostart\siszyd32.exe kann ich auch bestätigen, das war ein hartnäckiges Biest, ich habe es erst mit freefixer geschafft, das zu eliminieren.

Bei mir war noch C:\Dokumente und Einstellungen\user\Anwendungsdaten\security tool.exe zu finden, die auch eine Verknüpfung auf dem Desktop abgelegt hat.

Registry-Befall: Local Machine/ Software/ Windows/ Current Version/ Run/ (eine ca. zehnstellige Zahlenkolonne, Zahlen nach jedem Neustart anders) - die bezogen sich auf eine *.exe, die ich entweder noch nicht gefunden oder schon gelöscht habe

AVG Virenscanner war durch den Befall ausgeschaltet und auch nicht wieder zum laufen zu bringen, adaware hta nichts gefunden. Aber bis auf die siszyd32.exe ließ sich alles von Hand löschen.

~TM183.TMP usw. aus dem Windows/ Temp Ordner ließ sich erst löschen, als der gleichnamige Prozess beendet worden und die Datei umbenannt worden war. Das mit Umbenennung trifft auch auf die security tool.exe zu, ich habe dem Ding eine andere Endung verpasst, danach war es kein Problem, es abzuschießen.

In Windows/ Temp hatte ich noch eine _0[d? 3?] (genauen namen vergessen)exe, die sich auch als Schädling herausstellte.

Opera ließ sich noch öffnen, verweigerte aber Downloads.

Ist es angebracht, alle Passwörter zu ändern und das System neu aufzusetzen?

 

[SieNanntenIhnK4]

Um noch etwas Produktives dem Thread bezutragen: Die aktuelle c't hat eine beliegende CD mit dem Live-System desinfec't (Nachfolger von Knoppicilin), das von der CD bootet und eine Armee von Virenscannern (drei Stück) bereitstellt, die das System nach Viren durchforsten. Nebenbei stehen noch mehr Tools bereit.

Das ist auch ein probates Mittel, wenn Windows nicht mehr booten will oder man Angst hat, dass der eigene Virenscanner ausgeschaltet wurde.

niemand hat hier die hände in den schoß gelegt oder die meldungen nicht ernst genug genommen.
das problem wurde umgehend bearbeitet, und zwar von einem ganzen kontingent an leuten.

Das ist beruhigend zu hören und nur weil man nicht sieht, dass etwas passiert, heißt es ja nicht, dass nichts passiert.

 

[bigAl2]

nevi:

Jo ist schon ignorant, dass man sich alles mögliche bei $randomseite einfangen kann, aber hier machst du ein Fass auf. Übrigens nehmen die das keineswegs "entspannt". Kannst du nicht wissen, aber interessiert dich ohnehin nicht. Du hast nicht den leisesten Hauch einer Ahnung, was im Hintergrund möglicherweise abläuft oder auch nicht, du hast keine Information um dir so eine Aussage zu leisten.

Aber eine Meinung und ein Urteil, das hast du.

ich wollte niemandem vorwerfen, dass nichts getan wird.

aber wie ihr hier sehen könnt, wurden durchaus leute infiziert, die einen virenscanner laufen hatten. also soviel dazu, dass sie selbst schuld wären.
auf $randomseiten treibe ich mich nicht rum.
ich mache ein fass auf, weil ich der PlanetDiablo seite rechte erteilt habe, die andere seiten von mir nicht bekommen: weil ich vertrauen habe!

und das ich nicht den leisesten hauch einer ahnung habe was im hintergrund abläuft ist genau mein kritikpunkt! ich will das nämlich wissen. schliesslich ist ein trojaner nicht nur einfach was nerviges, sondern kann tausende von euros schaden anrichten!

horst schlemmer war nach 8 stunden der erste, der gesagt hat, dass der schadcode nicht mehr verteilt wird. in der zeit hat ein guter trojaner mein konto gelehrt, einkäufe auf ebay erledigt und die privaten urlaubsfotos auf facebook geladen.

deswegen meine bitte: der userschutz sollte bei so etwas an aller erster stelle für das ingame tem stehen. und wenn das bedeutet, dass die seite inkl. forum komplett vom netz geht, dann ist das so.
ich hoffe nicht, dass ihr eure finanziellen interessen über die sicherheit der user stellt.

cheers

bigal

 

[Aki-Akw]

..
Ist es angebracht, alle Passwörter zu ändern und das System neu aufzusetzen?

Das wäre in jedem Fall die sichere Variante.

Wenn man mit Windows arbeitet, sollte man auch mal darüber nachdenken, seinen Webbrowser und E-Mail Programm in Sandboxie laufen zu lassen.
Das verhindert/erschwert zumindest, das sich solche Schädlinge auf der Festplatte ausbreiten können. Bei Bedarf die Inhalte der Sandbox gelöscht und Ruhe ist.

Status meiner Rechner :

Hauptrechner Ubuntu 9.10 - keine Infektionen (surprise,surprise )

Laptop Windows Vista - keine Infektionen (sandboxed Firefox ftw)

Alle Windows Partitionen aus Linux heraus noch mal mit Clam geprüft - alles sauber.

Forumpasswort natürlich trotzdem geändert, das ist einfach Pflicht bei solchen Ereignissen.

 

[Pitti911]

[x] sign

Ich verzichte als user auch gerne ein oder zwei tage darauf, das Forum zu erreichen, wenn eine Meldung kommt, das die Seite aufgrund eines Trojaner-Befalls aus sicherheitsgründen vom Netz genommen wurde.

Ich hoffe, das so etwas nicht wieder passiert, aber falls doch dan lieber mal ne Weile kein Ingame erreichbar als Trojaner verschleudern.

 

[tschaumitau]

hab gestern meinen pc rebootet weil ich nen ziemlich Harnäckigen Invader drauf hatte kommt der etwa auch von hier?

 

[Pitti911]

Naja wenn man einmal ein Backdoor hat, kann so ziemlich alles kommen

 

[MinervasPet]

Hat jemand mit Win 7 den Virus drauf ich nämlich nicht obwohl ich zu der Zeit definitiv online war!

Jetzt ist meine Frage wird der Virus nicht gefunden oder funktioniert der nicht auf Win 7?

 

[bigAl2]

ach ja noch ne weitere bitte:

es wäre gut, wenn das ingame team auflisten könnte welche schädlinge genau vorhanden waren und am besten gleich den link zu den entsprechenden seiten der antivirenhersteller.

so lässt sich am einfachsten herausfinden, wie man die infektion erkennt, und was potentiell gefährdet ist. (also welche dienste, banken, usw...)
und vor allem: wie wird man sie wieder los.

edit:
alle die keinen virus angezeigt bekommen haben: hattet ihr javascript aktiviert oder nicht?
deaktiviert = keine gefahr

 

[Eli]

edit:
alle die keinen virus angezeigt bekommen haben: hattet ihr javascript aktiviert oder nicht?
deaktiviert = keine gefahr

Ich habe garkein Java auf dem Pc und hab trotzdem beim Virenscan gestern Nacht was gefunden.
(Die müssten von hier sein weil ich schon vor wenigen Tagen gescannt habe)

Also auch wers deaktiviert hat sollte unbedingt einmal nen Virenpogramm laufen lassen!

€: Okay danke hatte es gerade verwechselt dann ist der erste teil hier quatscht



Zum Abschalten des Forums, von der Hauptseite war es ohne weiteres möglich ins Forum zu kommen, wenn man auf den balken Communiy ging kam die Forum abgeschaltet Meldung ging man jedoch auf "Community foren" wurde man problemlos weitergeleitet ohne irgendeine Meldung.

 

[bigAl2]

javascript wird nicht seperat installiert.
das kommt mit dem browser mit

 

[Kazgaroth]

Hat jemand mit Win 7 den Virus drauf ich nämlich nicht obwohl ich zu der Zeit definitiv online war!

Jetzt ist meine Frage wird der Virus nicht gefunden oder funktioniert der nicht auf Win 7?

ich habe auch win7 drauf, bei mir wurde bsiher nur java/agent.s durch avira gefunden. ansonsten keinerlei einträge. spybot hat bisher auch nichts gefunden und selbst die liste die caligula oben gequotet hab bin ich durchgegangen, keine treffer.

 

[bigAl2]

die verschiedenen virenscanner scheinen sehr unterschiedlich gut/schlecht damit umzugehen.

avast scheint alles abgefangen zu haben.
ich werde aber nächste woche auf jeden fall mal die c´t scan CD einlegen und die nochmal nachsehen lassen.

 

[PoisonBlack]

mein windoof wird gleich komplett neu aufgesetzt... leider kann ich net mein ganzes system platt machen, ~50gb musik ~60gb filme lassen sich leider nur per externe festplatte absichern und sowat hab ich net -.-

aber was ist diese sandbx denn?

achja nach dem befall hab ich mal antivir draufgeschmissen und drüber laufen lassen der hat den net gefunden -.-