[budhist]

Hallo,

es ist nun das zweite Mal innerhalb von 3 Tagen, dass ich beim Surfen auf Bild-Online eine Viruswarnung von Avast Antivir bekomme. Beim Scan von 3 Tagen kam heraus, dass es sich um einen Zufall, doch nun bin ich mir sicher:

Meldung während des Surfens auf Bild.de am 14.01.07:
Sign of "Uruguay 6/7/8" has been found in

"http://a.as-eu1.falkag.net/dat/bgf/200701/04/xxl_banner_final.swf?clickTag=http%3A//red.ads.t-online.de/red%3Fcmd%3Durl%26flg%3D0%26%26rdm%3D37014606%26dlv%3D21%2C26790%2C453407%2C32451%2C59107%26kid%3D32451%26ucl%3D111111A%26dmn%3D.pools.arcor-ip.net%26sc"

Beim Scan am dann folgendes raus:
Sign of "Win32:Agent:EFO [Trj]" has been found


Gerade war ich wieder auf Bild.de, sonst war keine andere Seite auf und es kam folgende Meldung:
Sign of "Uruguay 6/7/8" has been found in

"http://a.as-eu1.falkag.net/dat/bgf/200701/04/xxl_banner_final.swf?clickTag=http%3A//red.ads.t-online.de/red%3Fcmd%3Durl%26flg%3D0%26%26rdm%3D67838169%26dlv%3D21%2C26790%2C453410%2C32451%2C59107%26kid%3D32451%26ucl%3D111111A%26dmn%3D.pools.arcor-ip.net%26sc

Der gleiche Banner also, der mir diesen Trojaner einschleust.
Man kann es testen, indem man sich den Link rauskopiert und ihn aufruft:

http://a.as-eu1.falkag.net/dat/bgf/200701/...cor-ip.net%26sc



Weiß jemand ob und wie man dagegen vorgehen kann?
Könnt ihr da evtl. was Machen Winfuture?

Gruß
budhist

Dieser Beitrag wurde von budhist bearbeitet: 16. Januar 2007 - 19:47

[Graumagier]

Wieso hast du den Browsercache nicht schon lange vom OnAccess-Scan ausgenommen? Ist ja kein Wunder dass du mit derlei irrelevanten Meldungen bombardiert wirst, zu bedeuten haben sie wohl nichts, dürften Fehlalarme sein. Außer dass du eventuell etwas leichtgläubig gegenüber Marketingeschwafel bist, aber das erklärt wohl auch warum du auf BILD-Online surfst

Und wo wurde "Win32:Agent:EFO [Trj]" gefunden?

EDIT: Und dass du es mit deinem Code-Link schaffst, meinen 24''-Bildschirm zu sprengen, ist auch eine reife Leistung

Dieser Beitrag wurde von Graumagier bearbeitet: 16. Januar 2007 - 19:59

[G.I.Joe]

Zitat (Graumagier: 16.01.2007, 19:51)

aber das erklärt wohl auch warum du auf BILD-Online surfst

Hey, vielleicht wollte er auch einfach nur was zum Lachen haben *SCNR*

[budhist]

Also ich benutze den Opera Browser (Version 9.10, Build 8679), neueste Version also. Ich öffnete keine Banner, sondern hab eine geöhnliche Nachricht auf Bild.de geöffnet. Beim Laden der Seite wird ein externer Banner geladen und dieser schleust einen Trojaner rein...ob man es will oder nicht^^

Mein Verhalten beim Surfen ist in keinster Weise fahrlässig, ich kenne mich einigermassen damit aus und halte meinen Rechner sehr sauber.


Ja der Trojaner "Win32:Agent:EFO [Trj]" wurde beim Scan, den ich nach der Meldung eingeleitet hab, gefunden.

Übrigens hat Opera eine Funktion "An Breite anpassen". Wenn du es anklickst, wird die Internetseite an die Auflösung deines Monitors angepasst.

Dieser Beitrag wurde von budhist bearbeitet: 16. Januar 2007 - 19:59

[Graumagier]

budhist sagte:

Beim Laden der Seite wird ein externer Banner geladen und dieser schleust einen Trojaner rein...ob man es will oder nicht^^

Du meinst dass ein SWF-Banner in deinen Cache geladen wird, das Code enthält, der von deinem Virenscanner als schädlich erkannt wird. Tut mir leid, aber da besteht ein gewisser Unterschied

budhist sagte:

Mein Verhalten beim Surfen ist in keinster Weise fahrlässig, ich kenne mich einigermassen damit aus und halte meinen Rechner sehr sauber.

Wieso hast du dann Flash nicht per default deaktiviert?

budhist sagte:

Ja der Trojaner "Win32:Agent:EFO [Trj]" wurde beim Scan, den ich nach der Meldung eingeleitet hab, gefunden.

Wo? Auch im Browser-Cache?

budhist sagte:

Übrigens hat Opera eine Funktion "An Breite anpassen". Wenn du es anklickst, wird die Internetseite an die Auflösung deines Monitors angepasst.

Wieso verwendest du nicht einfach eine Codebox?

[budhist]

Zitat (Graumagier: 16.01.2007, 20:02)

Du meinst dass ein SWF-Banner in deinen Cache geladen wird, das Code enthält, der von deinem Virenscanner als schädlich erkannt wird. Tut mir leid, aber da besteht ein gewisser Unterschied

Der Trojaner hatte sich beim ersten Mal in einem Spiel "Backgammon" eingenistet, also nicht im Cache. Wo er sich jetzt wieder versteckt, versucht mein Avast gerade herauszufinden...

[Graumagier]

budhist sagte:

Der Trojaner hatte sich beim ersten Mal in einem Spiel "Backgammon" eingenistet, also nicht im Cache.

Tja, dann ist bei deinem System aber ordentlich was kaputt und es gehört neu installiert und konfiguriert.

[budhist]

Nunja, ich glaube deine Annahme ist nicht haltbar...trotzdem Danke für deine Mühe.

[Graumagier]

budhist sagte:

Nunja, ich glaube deine Annahme ist nicht haltbar...trotzdem Danke für deine Mühe.

Entschuldige, ich dachte dass du eine fundierte Meinung haben willst. Die Abteilung für Selbstbestätigung ist zwei Türen weiter.

[blitz]

Zitat (budhist: 16.01.2007, 20:31)

Nunja, ich glaube deine Annahme ist nicht haltbar...trotzdem Danke für deine Mühe.

Habe mir die Mühe gemacht und das ganze mal getestet.
Das Ding liegt einfach nur blöd in der Browsercache.

Schlussfolgerung - Dein System ist für´n Ar...

@Graumagier
Avast meldet beim Surfen (Ohne Worte)

[Internetkopfgeldjäger]

Nein!

Da ist wirklich was. *sfg*

Hab das Ding mal eingeschickt,
hier das Ergebnis:

Zitat

Antivirus Version Update Result
AntiVir 7.3.0.21 01.17.2007 no virus found
Authentium 4.93.8 01.16.2007 no virus found
Avast 4.7.936.0 01.16.2007 Uruguay 6/7/8
AVG 386 01.16.2007 no virus found
BitDefender 7.2 01.17.2007 no virus found
CAT-QuickHeal 9.00 01.17.2007 no virus found
ClamAV devel-20060426 01.16.2007 no virus found
DrWeb 4.33 01.17.2007 no virus found
eSafe 7.0.14.0 01.17.2007 no virus found
eTrust-InoculateIT 23.73.115 01.17.2007 no virus found
eTrust-Vet 30.3.3332 01.17.2007 no virus found
Ewido 4.0 01.17.2007 no virus found
Fortinet 2.82.0.0 01.17.2007 no virus found
F-Prot 3.16f 01.16.2007 no virus found
F-Prot4 4.2.1.29 01.16.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.17.2007 no virus found
McAfee 4940 01.16.2007 no virus found
Microsoft 1.1904 01.17.2007 no virus found
NOD32v2 1984 01.17.2007 no virus found
Norman 5.80.02 01.17.2007 no virus found
Panda 9.0.0.4 01.16.2007 no virus found
Prevx1 V2 01.17.2007 no virus found
Sophos 4.13.0 01.16.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 no virus found
UNA 1.83 01.16.2007 no virus found
VBA32 3.11.2 01.16.2007 no virus found
VirusBuster 4.3.19:9 01.17.2007 no virus found


Aditional Information
File size: 13866 bytes
MD5: cdae10772d98c7bccc8df7cd3c44d700
SHA1: 6ca4cdfbe4099aa758ae24461f22022c0e69df1b

Es könnte sich natürlich auch um einen "false positive" handeln,
also das Avast "Uruguay 6/7/8" darin sieht, auch wenn die Datei
möglicherweise keine Gefahr darstellen sollte.

Aber egal, ob da ein Virus drinn ist oder nicht,
wer das liest, was auf Bild steht, infiziert sich doch quasi sowieso
das "exec Brain".
(Wer nur "Titten gucken" will und die großen Buchstaben irgnoriert, nun ja)


Gruß, Internetkopfgeldjäger

[pedaa]

Janu,
a) bei mir gibt es keine Banner auf bild.de (Werbeblocker lässt grüßen)
b) wer surft schon auf bild.de
c) der eintrag ist furchtbar, kann man die zeilen nicht umbrechen?

Machts gut

[Graumagier]

Internetkopfgeldjäger sagte:

Es könnte sich natürlich auch um einen "false positive" handeln,
also das Avast "Uruguay 6/7/8" darin sieht, auch wenn die Datei
möglicherweise keine Gefahr darstellen sollte.

Wovon man bei nur einem anschlagenden Virenscanner eigentlich ausgehen kann.

[Internetkopfgeldjäger]

Hallo Graumagier,

das Sample, das ich zu dem bekannten Service von Hispasec Sistemas
eingeschickt habe,
wird weiterverteilt an die Virenscannerhersteller, die dort gelistet sind.
Es nimmt seinen lauf...


Gruß, Internetkopfgeldjäger

[budhist]

Für alle Fälle hab ich es nochmal per Email an Avast geschickt.