Tojaner-Fund, Kaspersky Internet Security 2013

ullibaer „Tojaner-Fund, Kaspersky Internet Security 2013“

12.11.2012, 16:30 Optionen

Hallo Ulli,

Bei mir meckert GData auch rum:

"Website gesperrt!
G Data TotalCare 2010 hat den Zugriff auf diese Webseite verweigert.
Die Seite enthält infizierten Code: Trojan.Script.478433 (Engine A), JS:Blacole-CY [Expl] (Engine B)."

und ich bin dann zwar nicht auf der Seite, weil GData sie sperrt, aber das passiert eben, wenn ich sie aufrufe.

GData scant die Seite mit zwei Engines, von denen die eine von Kaspersky ist. Da das Ding nicht als heuristische Erkennung markiert ist, ist anzunehmen, dass die Seite wirklich infiziert ist....

ullibaer

winnigorny1 „Hallo Ulli, Bei mir meckert GData auch rum:"Website gesperrt!...“

12.11.2012, 16:36 Optionen

Hi,
dann hast du besagte Seite mal aufgerufen, ja?
Dann sollte ich den Betreiber der Seite mal darüber informieren.

winnigorny1

ullibaer „Hi, dann hast du besagte Seite mal aufgerufen, ja? Dann...“

12.11.2012, 16:43 Optionen

Ja, ich habe die Seite aufgerufen. - Machte ich völlig angstfrei, weil ich grad vorher ein Image gemacht hatte.

Ist sicher eine gute Idee, den Betreiber der Seite zu informieren.

ullibaer

winnigorny1 „Ja, ich habe die Seite aufgerufen. - Machte ich völlig...“

12.11.2012, 16:46 Optionen

ist schon passiert!

ullibaer

winnigorny1 „Ja, ich habe die Seite aufgerufen. - Machte ich völlig...“

15.11.2012, 14:59 Optionen

Hi,
Also diese Meldung von Kaspersky kommt immer dann, wenn mein PC ca. 10 Minuten in Betrieb ist.
Dann kommt erst ein rotes Popup von Kaspersky, das dann grün wird.
Ich bin aber nicht auf dieser Seite, aber anscheinend wird was im Hintergrund jedesmal runtergeladen, von dem ich nichts mit bekomme.
Und jetzt gerade kam noch eine weitere Meldung von Kaspersky.

Gruß Ulli

winnigorny1

ullibaer „Hi, Also diese Meldung von Kaspersky kommt immer dann, wenn...“

15.11.2012, 15:21 Optionen

Uuuiiii!

Das ist ja ein Ding. Ich war ja auch auf der Seite und der Kaspersky ist eine meiner Scanengines. - Ich habe nach dem Besuch der Seite aber diese Probleme nicht.

Merkwürdig ist das schon. Auf der anderen Seite steht in der Meldung jedoch "Heur:......" eine heuristische Erkennung also. Das muss nichts zu bedeuten haben, kann einfach ein false positive sein.

Bietet der Kaspersky eine Life-CD an? Wenn ja, mach doch einfach mal einen Offline-Scan.

Wenn du denen die Daten zur Überprüfung schickst, wirst du irgendwann ein Rückmeldung erhalten, aber das kann dauern.

Schon mal versucht, den FF zu deinstallieren und eine komplette Neuinstallation zu machen?

Es ist schon klar, dass du eine Fehlermeldung vom FF bekommst, da der Kaspersky ja letztlich den Programmstart vom FF unterbindet. - Siehe "verboten".

Im Prinzip glaube ich nicht, dass die FF exe verseucht ist, Deinstalliere den FF, mache danach, so du kannst einen OfflineScan und wenn da keine LifeCD hast, lade dir eine runter (kannste ja mit dem IE machen), brenne das ISO auf eine CD und mach' es dann.

Wenn da dann grünes Licht ist, kannste ja den aktuellen FF runterladen und installieren und schauen, was dann passiert.

Ich glaube eigentlich an einen False-Positive.

Du kannst ja auch mal, während das passiert, den Taskmanager aufmachen und unter Netzwerk gucken, ob da irgendwie eine verdächtig hohe Auslastung vorliegt.

Während ich das hier schreibe und noch 3 andere Tabs im FF offen habe, liegt die LAN-Verbindung bei einer zarten Auslastung zwischen O und 0,2 % - mal so zur Orientierung.

Beim Abschicken hatte die LAN-Verbindung eine Auslastung von knapp 2,5 % und die LAN-Verbindung 3 ungfähr 3 %

IRON67

winnigorny1 „Uuuiiii! Das ist ja ein Ding. Ich war ja auch auf der Seite...“

15.11.2012, 15:30 Optionen

Ich glaube eigentlich an einen False-Positive.

Ich nicht. Es geht hier auch nicht um eine "verseuchte" Firefox.exe, sondern darum, dass der Browser aufgrund eines Programms/Scripts, das auf dem PC aktiv ist, dazu angehalten wird, von besagter Seite Code nachzuladen. Das riecht doch sehr nach erfolgreicher Drive-by-Infektion.

winnigorny1

IRON67 „Ich nicht. Es geht hier auch nicht um eine "verseuchte"...“

15.11.2012, 15:46 Optionen

Das riecht doch sehr nach erfolgreicher Drive-by-Infektion.

Oooops! Da habe ich ja Schwein gehabt, dass bei mir zu dem Zeitpunkt, an dem ich auf die Seite schaute, alles aktuell war?

Was ich nicht verstehe: Bei mir hat die Kaspersky-Engine auch einen Virus gefunden und die Seite von vornherein gesperrt; allerdings hatte der einen ganz anderen Namen und hatte keine heuristische Erkennung.

Mein Glück scheint zu sein, dass das Ding wohl eine Lücke JS ausnutzt und der ist bei mir standardmäßig blockiert - genauso, wie auch JAVA deaktiviert ist, obwohl aktuell (aber das bringt ja nichts, da auch die aktuelle Version ein Scheunentor ist).

Jedenfalls ist bei mir alles unverdächtig. - Ich bin ja auch gar nicht erst auf die Seite gekommen - die wurde von GData gesperrt.

IRON67

winnigorny1 „Oooops! Da habe ich ja Schwein gehabt, dass bei mir zu dem...“

15.11.2012, 16:05 Optionen

Was ich nicht verstehe: ...allerdings hatte der einen ganz anderen Namen und hatte keine heuristische Erkennung.

Namen sind Schall und Rauch. Solltest du wissen. Egal, ob nun Dateinamen oder Namen von Malware. Die AV-Hersteller haben ja keine einheitliche Regelung für die Benennung gefunden.
Darüber hinaus darfst du nicht vergessen, dass das Blackhole-Exploit-Kit in der Lage ist, individuelle Dateien pro Besucher zu generieren und obendrein ja auch eventuell heimlich dort gehostete Malware ab und zu aktualisiert wird via Botnetz und C&C-Server.

winnigorny1

IRON67 „Namen sind Schall und Rauch. Solltest du wissen. Egal, ob...“

15.11.2012, 22:06 Optionen

Blackhole-Exploit-Kit in der Lage ist, individuelle Dateien pro Besucher zu generieren und obendrein ja auch eventuell heimlich dort gehostete Malware ab und zu aktualisiert wird via Botnetz und C&C-Server.

Danke für die Info. - Schon wieder was gelernt.

Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge