Virus Pcwelt.de

Wenn die Konzeption des Angriffs bekannt ist (wurde in HCDs Artikel ja skizziert), muss die Probe aufs Exempel auch nicht unbedingt nötig gewesen sein. Immerhin: es war der aktuelle Chromebrowser am Werk. Von der Updateseite lag also kein Fehler vor, falls etwas passiert sein sollte. Zudem schrieb kalweit, dass der Angriff auf ungepatchtes Java und den Acrobat Reader zielte. Da keins davon installiert ist, müsste die Grundlage fehlen.

Was mich noch immer stutzig macht, ist dieser Satz:

Beim Nachbarn gabs AFAIR am Folgetag trotz zwischenzeitlichem Aufsetzen der Datenbank einen zweiten erfolgreichen Angriff.

 

Eben eben. Ich frage mich also, was genau du erwartet hast. Das exakt meinte ich ja, als ich davon schrieb, ein System so zu pflegen, dass es für einen Exploit keine Angriffsfläche bietet.

Nun bin ich aber nicht im Besitz der Kristallkugel, die dein System begutachten könnte.

Nu siehste.

 

Will sagen: man hat in den PC-Welt Seiten ein Stück Quellcode gefunden, welcher die Verbindung zum eigentlichen Schadcode herstellt hat. Diesen Quellcode hat man entfernt. Man hat aber keinen blassen Schimmer, wie der Code auf die PC-Welt Server und letztlich in die Seite gelangt ist.

 

Ich habe nur einmal mit einem Virus zu tun gehabt: Nightfall(mit irgend ner Nummer dran). Kam aus einer infizierten DOS-Original-Spieldiskette, die ich verliehen hatte. Wollte das Spiel unter Win98SE noch einmal spielen, als der Scanner aufjaulte. Eine Recherche ergab, dass der Virus unter Win98SE gar nicht mehr lauffähig war. Ergo: keine Angriffsfläche. Das Szenario kenne ich daher.

Soll ich mal, um die Kugel zu erhellen, OTL anwerfen?

Schmatz nich' so!
Im Ernst: nur, weil zwei (notwendige) Bedingungen genannt wurden, heißt es ja nicht, dass alle Bedingungen genannt wurden. Die Infolage war etwas neblig am Samstag.

 

Von mir aus....mach ruhig. Weißt ja, wies geht.
Eins noch: Um herauszufinden, ob Chromes Sandbox funktioniert hätte, müsste ein Testsystem mit veraltetem Java, veraltetem Adobe Reader, generell erlaubtem JavaScript und leicht veraltetem Chrome sowie deakt. oder veraltetem Virenscanner genommen werden und dann die verseuchte PCW-Seite aufrufen. Die Chance haben wir verpasst.

Naja, nach RedExploit Kit googeln is nich so schwer... Man muss hier nicht vermuten, dass irgendwas ganz furchtbar Neues und Originelles probiert wird.

 

Und das ist ja das Husarenstück.
Den Quellcode einer Seite zu verändern, das kann ja sogar ich. Aber das wieder an die gleiche Stelle zu bringen ohne das es jemand mitbekommt, das ist doch etwas zu hoch.

Und obwohl ich die Warnung ignoriert habe, nicht ohne meinen PC abzusichern, ist bei mir nix angekommen.
War wohl doch nicht so brutal schlimm.
Aber immer besser man bekommt eine Warnung als man ins Nir(v)wana läuft.

 

Google Cross Site Scripting. Um mal EIN Beispiel zu nennen...

 

Öha! Du bist nicht böse, dass ich erleichtert bin, dass mein PC nicht als Versuchskaninchen herhalten musste?

 

Dazu fehlt mir auch wohl die kriminelle Energie.
Ich sehe für mich persönlich keinen Sinn darin.
Meist geht es wohl nur um Geld, um irgendwelche Daten zu bekommen um sich und andere zu bereichern.
Davon hätte ich nichts. Das Geld anderer brauche ich nicht, ich habe genug eigenes.

 

Ich schrieb TESTSYSTEM. Ist dein PC ein Testsystem oder ein Produktiv-System? Aha.

Ähemm...es ging ums Googeln, damit du verstehst, wie es funktioniert. Danach hast du doch gefragt.

 

Passt aber nicht zu...

Früher waren hier die Dateisysteme auf den Webservern sogar readonly.




PS: ja, ich weiß, es war nur ein Beispiel...

 

Eben. Ich spekuliere doch nicht über ungelegte Eier.

 

ich hätte auch mal ein paar Verständnisfragen zu

Quelle. http://www.google.com/safebrowsing/diagnostic?site=www.pcwelt.de


1. wieso "9 mal auf die Liste" - passiert das öfter oder sind's Fehleinschätzungen seitens G**gle?

2. 41 exploit(s) waren es doch sicher nicht am WE, oder? also doch 1.?

3. wieso "ohne Einwilligung des Nutzers"? die haben doch alle auf "Ja, ich will!" geklickt bzw. klicken müssen, oder hab'sch da was falsch verstanden?

 

Dafür das der Online Auftritt wieder sauber sein soll, ist die Google Werbung nicht gerade Vertrauens erweckend.

 

Ja, hast du. Es geht nicht ums Klicken nach Anzeige einer Warnung (die bekommen ja auch Leute zu sehen, deren System gar nicht angegriffen werden kann), sondern darum, dass die Drive-by-Infektion ohne weitere User-Interaktion stattfindet.

 

Nun ja, auch hier gibt es ergänzende Adjektive wie freiwilliges und unfreiwilliges Testsystem.

Mal schauen, ob mein Produktivsystem nicht doch zugleich ein unfreiwilliges Testsystem war. Die OTL-Logs befinden sich im Anhang.

 

Jaja...es gibt auch freiwillige und unfreiwillige Opfaaa.

Wäääähhh...was ist das denn? Schriebst du nicht, da gäbs kein Java? Entweder ist da noch was übrig oder das sind verwaiste Einträge. Hoffentlich Letzteres.

 

Ein Überrest, der Plugin-Ordner ist vor knapp zwei Wochen endgültig geleert worden, also vor der PCW_Maläsche. Aus irgendeinem Grund war die .dll nicht mit Java zusammen entfernt worden, musste ich händisch machen, als ich die Plugins im FX überprüfte. Java ist seit Oktober 2012 vom Rechner runter.

 

Komisch und Unerfreulich, daß nicht PC-Welt prominent auf Seite 1 des Internetauftrittes über die letztes Wochenende erfolgte Virenaussendung via dieser Webseite informiert!

Was muß man nun machen, wenn man nicht mehr weiß ob man in der virenzeit hier vorbei guckte. Der Explorer kann leider nicht genau darüber informieren.
Ach zum Glück: hier oben steht ja: zum letzten mal am 22. hier gewesen. Alles klar.

Aber für ähnliche Fälle in der Zukunft? Wie sagt mir der IE genau die letzten 20 Tage. Ab gestern sagt er nur noch Wochenweise an und wenn ich dort auf einen dieser Links klicke dann auf die Eigenschaften bekommt er das Klickdatum - sehr intelligent ... buffffff
Till