Tektorum infiziert?

Ich erhalte in den vergangenen Tagen Warnungen vor bösartiger Software, wenn ich die Tektorum-Seite besuche.

Hallo Archimedes,

ich hoffe das es nur ein Tag war - sonst hab ich noch etwas übersehen!

Leider wurde unser Anzeigenserver gestern Mittag gehackt und Schadcode zu allen Anzeigen hinzugefügt.
Die Hacker haben dabei eine Lücke in dem Anzeigenserver genutzt, die erst Anfang der Woche bekannt wurde.
Wir waren leider nicht schnell genug mit dem Einspielen eines Updates...

Jetzt ist aber alles aktualisiert und der Schadcode wurde entfernt.

Ich empfehle aber trotzdem dringend allen Nutzern, den Virenscanner über den Rechner laufen zu lassen! (Sollte man unter Windows so und so immer machen...)


Grüsse
Florian

__________________
Florian Illenberger

tektorum.de - Architektur-Diskussionsforum

archinoah.de Architektur Portal - Forum für Architektur:

• Architektur Stellenmarkt
• Architekturfotografie
• Termine und Wettbewerbe
• Downloads

Es war nur am Samstag und Sonntag.

Anscheinend habt Ihr es wieder hinbekommen.

Die Oberfläche scheint aber immer noch beschädigt zu sein - die Darstellung ist z.Zeit irgendwie korrupt.

Bestand eine Gefahr bez. Schadcode nur durch Klicks auf Anzeigen oder auch generell beim Surfen auf der Seite?

Ja, der Schadcode war vermutlich an die Anzeigen gekoppelt. Soweit wir es erkennen können, wurde dadurch eine Weiterleitung an externe Seiten erzwungen, die ihrerseits Schadcode enthalten haben können. Wenn Ihr nicht auf Anzeigen geklickt habt, solltet Ihr safe sein. Eine Garantie dafür kann ich aber nicht geben. Wer sicher gehen will, sollte seinen Rechner mit einem entsprechenden Programm checken.

Konntet Ihr eigentlich feststellen um welche Schadsoftware es sich gehandelt hat bzw. welche Probleme diese erzeugt?

Ich frage deshalb, weil ich seit dem vergangenen Wochenende einige Probleme mit einem meiner Rechner habe was den Internetzugriff angeht. Natürlich der Rechner mit dem ich am Samstag/Sonntag auf Tektorum.de gewesen bin.
Allerdings habe ich keine Anzeige angeklickt. Mit absoluter Sicherheit kann ich nicht sagen, ob es daran liegt, aber es gibt definitiv seit dieser Zeit ein Problem.

Ich wäre jedenfalls für Tipps dankbar.

P.S. Der Virenscanner hat bisher nichts entdeckt.

Wichtiger Hinweis:
Um dies nochmal richtig zu stellen, der Schadcode wurde der normalen Werbeanzeige angehängt, so dass möglicherweise bereits beim Laden der Anzeige die "Malware" von einer anderen Seite nachgeladen wurde - also auch ohne auf die Werbung zu klicken.

Die beiden "bösen" Seiten, auf die verwiesen wurde waren
o p p e r l a n t DOT c o m
und
q u i n t i v o l t DOT c o m

Norton gibt zu diesen Seiten folgende Informationen:

http://safeweb.norton.com/report/sho...=opperlant.com
http://safeweb.norton.com/report/sho...quintivolt.com

Die Viren, die ggf. automatisch geladen wurde sind hier dokumentiert:
Downloader: Downloader | Symantec
Trojan Horse: Trojan Horse | Symantec

Das Sicherheitsrisiko ist hier dokumentiert:
HTTP Phoenix Malicious Toolkit Activity: HTTP Phoenix Malicious Toolkit Activity: Attack Signature - Symantec Corp.

Norton gibt auf diesen Seiten auch Hinweise zum weiteren Vorgehen!

__________________
Florian Illenberger

tektorum.de - Architektur-Diskussionsforum

archinoah.de Architektur Portal - Forum für Architektur:

• Architektur Stellenmarkt
• Architekturfotografie
• Termine und Wettbewerbe
• Downloads

Habe mit Avira AntiVir meinen Rechner durchsuchen lassen. Weiß jemand, ob dieses Antivirenprogramm schon diese Viren erkennt? Es warnt mich, weil es auf meinem Rechner ein Programmobjekt in meiner Systemdatei gibt, die sich nicht öffnen läßt.

@Archimedes

Welches Antivirenprogramm nutzt du? Meines hat mich nicht vor der infizierten Tektorium Seite gewarnt.

Bei mir haben Safari und FireFox vor Tektorum gewarnt, weshalb ich das Team auch kontaktiert habe. Im RSS-Feed konnte ich Tektorum aber weiter lesen. Da hab ich mich nur gewundert, dass Archimedes weiter posten konnte.
Ich nutze Clam AV, hat nichts gefunden. Liegt aber wahrscheinlich daran, dass Downloader und Trojaner nur Windows95 bis Vista betreffen. Nach meinem Wissenstand, sollte man als Windows-Nutzer niemals nur einen Virenscaner allein nutzen. In diesem Fall bietet sich Symantec an, da die offensichtlich das ganze entdeckt haben.

__________________
Grüße Michael

"Warum soll etwas nicht so gut wie möglich sein ?"
Ludwig Mies van der Rohe, 1964

Das findet man zur page-Datei.

Liegt also eher an zu wenig Arbeitsspeicher, einer fast vollen oder zunehmend defragmentierten oder gar defekten Festplatte. Defragmentieren soll helfen.
Downloader und Trojaner wollen in der Regel nicht auffallen, und sollten sich nicht in der Art bemerkbar machen. Im schlimmsten Fall schalten sie die Virenscanner aus und der Rechner wird dadurch sogar schneller.
Trotzdem sollte man wissen, ob der Rechner infiziert ist, da man nicht weiß, was der Trojaner macht, ob er Eure Rechner nur zu Zombies machen will, oder ob er im schlimmsten Fall via Keylogger Passwörter und Zugangsdaten klaut.

In der Regel hat man doch sein Windows auf einer separaten Partition. Dann ist es doch am einfachsten man spielt das System einfach neu auf. Von einem Backup oder einem Clone.

__________________
Grüße Michael

"Warum soll etwas nicht so gut wie möglich sein ?"
Ludwig Mies van der Rohe, 1964

Ich benutzte Gdata Internet-Security und habe damit bisher nur gute Erfahrungen gemacht.

Allerdings habe ich für mein aktuelles Problem noch keine Lösung. Ich habe alle Dateien, die im fraglichen Zeitraum erstmals erstellt wurden vom Rechner entfernt und einen großen Virencheck durchgeführt. Ergebnis: Keine Probleme. Dennoch habe ich das Problem, daß nach kurzer Zeit im Internet die Verbindung zusammenbricht und ich mich mit GData nicht mehr über's Internet am Updateserver anmelden kann. Somit fehlen mir die neuesten Virendefinitionen.
Irgendwie legt man mir den Port 80 lahm über welchen die Verbindung sonst hergestellt wird.
Ich bin froh, daß ich diesen Rechner nicht direkt zum Arbeiten brauche, aber ich muß dennoch eine Lösung finden.

Wenn der Bösewicht sich einigermaßen gut versteckt, kann ihn ein Virenscanner bei laufendem Betriebssystem u.U. auch nicht finden und entfernen.

Dann hilft ein Virenscanner weiter, der von einem von CD gebooteten Betriebssystem (idR Linux) gestartet wird, sich die aktuellen Virendefinitionen über's Internet holt und dann die Festplatte überprüfen kann, ohne daß der Schädling "in Betrieb" ist.

So eine CD ist ca. einmal jährlich bei der Zeitschrift c't dabei, sowas gibt's aber auch zum download+selberbrennen - kostenlos z.B. von Avira (Avira AntiVir Rescue System):

Support Downloads

Grundsätzlich ist die Software selbsterklärend, aber ein wenig Ahnung von der Materie schadet nicht, bei "fehlerhafter Virenentfernung" hat man (je nach Virus) auch schnell mal ein nicht mehr startendes Betriebsystem auf der Festplatte - im Zweifelsfall ist der (frühzeitige) Gang zum Fachmann eigenen Experimenten vorzuziehen.

Gruß, Matthias

Ich benutze Opera. Ist der weniger sicher?

@Matthias
Also vielleicht könntste ja du, mika oder Archimdes einen solchen CD Scanner mal durchlaufen lassen. Wenn dann keine Viren angezeigt werden, kann man ja davon ausgehen, daß sich keiner angesteckt hat. Für mich ist das ein bißchen zu hoch.

Danke!

Davon kann man ganz sicher nicht ausgehen. Das Ergebnis wäre nur, daß auf meinem Rechner kein Befall ist (oder aber schon, wovon ich aber nicht ausgehe, weil Chrome tektorum am Wochenende auch blockiert hat).

Über andere Rechner trifft der Scan absolut keine Aussage, weil dort ja ganz andere Softwarekonfigurationen, Patches und Sicherheitseinstellungen vorliegen und dadurch jeder Rechner (und Nutzer) eine ganz individuelle "Infektionsgefährdung" hat.

Gruß, Matthias

Mein System ist von dem Downloader und Trojaner nicht betroffen, daher würde so ein Scan bei mir nichts bringen.
Aber das was Matthias beschreibt ist eine gute Lösung.
Das Image runter laden, auf CD brennen und von CD booten und die Windowslaufwerke scannen lassen. Wenn er was findet, Reparatur probieren.
Zur Not habt Ihr ja bestimmt noch ein Backup oder ein Clone, oder ??!!
Wenn nicht ist das jetzt eine Wink mit dem Zaunpfahl.

__________________
Grüße Michael

"Warum soll etwas nicht so gut wie möglich sein ?"
Ludwig Mies van der Rohe, 1964