Sie sind hier: Willkommen auf der neuen Dragon Software!
05.09.2009
Webseitenvirus greift um sich
Kategorie: Allgemeines
Erstellt von: Support
Nachdem ein Besuch auf einer Seite scheiterte, weil Google und Firefox meinten da sei Malware, sprang ThreadFire an als ich die Seite mit dem InternetExplorer 8.0 öffnete. Leider haben alle 3 VirenScanner nichts von sich gegeben, als sich eine Datei von einem anderen Server in meinem System einnisten wollte.
Was ist passiert?
Als ich nach "Textilien on Demand" suchte, zeigte mit das Google-Image-Tool des FireFox das folgende Bild:
Die Url und Name der Seite wurde zum Schutz des betroffenen entfernt.
Als ich dann diesen Link anklickte, bekam ich folgendes zu sehen:
Was passiert nun?
Es wird ein Programm von der Webseite aj4.ru heruntergeladen und im Temp-Verzeichnis des Webseitenbesuchers abgelegt und ausgeführt. Dieses intergriert sich nun in der Registry von Windows. Es scheint sich nun durch eine FTP-Verbindung auf dem Webserver des nächsten Kunden zu plazieren. Nebenbei sendet dieses Programm Daten an einen uns noch nicht bekannten Server.
Wie kann man sich schützen, ohne PC-Wächter etc.?
Wie ich schon in der Einleitung schrieb, war ThreadFire der Firma PC-Tools das Programm, welches sich zu Worte meldete und mich vor größeren Schaden bewarte.
ThreadFire erkannte c.exe im Verzeichnis /temp/ als "nicht autorisierte Anwendung". Zeigte zugleich auch den Eintrag, den es in der Registry vornehmen wollte, beendete und blockierte die Anwendung(Thread) Namens c.exe.
Um zu erkennen, ob auch Ihre Website betroffen ist, schauen Sie sich den Quellcode über ihren Browser an. Am Ende der Seite sollte dann so etwas stehen:
Was ist passiert?
Als ich nach "Textilien on Demand" suchte, zeigte mit das Google-Image-Tool des FireFox das folgende Bild:
Die Url und Name der Seite wurde zum Schutz des betroffenen entfernt.
Als ich dann diesen Link anklickte, bekam ich folgendes zu sehen:
Was passiert nun?
Es wird ein Programm von der Webseite aj4.ru heruntergeladen und im Temp-Verzeichnis des Webseitenbesuchers abgelegt und ausgeführt. Dieses intergriert sich nun in der Registry von Windows. Es scheint sich nun durch eine FTP-Verbindung auf dem Webserver des nächsten Kunden zu plazieren. Nebenbei sendet dieses Programm Daten an einen uns noch nicht bekannten Server.
Wie kann man sich schützen, ohne PC-Wächter etc.?
Wie ich schon in der Einleitung schrieb, war ThreadFire der Firma PC-Tools das Programm, welches sich zu Worte meldete und mich vor größeren Schaden bewarte.
ThreadFire erkannte c.exe im Verzeichnis /temp/ als "nicht autorisierte Anwendung". Zeigte zugleich auch den Eintrag, den es in der Registry vornehmen wollte, beendete und blockierte die Anwendung(Thread) Namens c.exe.
Um zu erkennen, ob auch Ihre Website betroffen ist, schauen Sie sich den Quellcode über ihren Browser an. Am Ende der Seite sollte dann so etwas stehen: