Neuer Trojaner?

05/08/2008 - 10:20 von Ferry Bolhar | Report spam
Hallo,

ich beobachte seit einiger Zeit ein (noch) unerklàrbares Verhalten auf meinem XP Pro SP 2 System.
IE und FF bleiben verhalten sich beim Aufruf bestimmer Seiten (z.B. www.yahoo.at, www.google.at) merkwürdig. Die Seite wird
(scheinbar) normal ausgegeben. Klickt man dann aber auf dieser Seite auf einen Link, passiert nichts (der Browser scheint zu
hàngen), nach einiger Zeit (2...5 Minuten) wird man dann mit Angeboten von Sex- und Kontaktseiten überflutet. Auch eine Installation
von IE 7 half da leider nichts.

Mir fàllt auf, dass auf den Startseiten (im Quelltext) jede Menge Javascript Code aufscheint, der auf den Originalseiten nicht
vorhanden ist. Dieser Code scheint maschinengeneriert zu sein, da er sehr kryptische Variablen- und Funktionsnamen verwendet, die
sich außerdem bei jedem Neuladen àndern.

Gebe ich statt www.yahoo.de oder www.google.de die entsprechenden IP-Adressen ein, erhalte ich die Originalseiten. Bringt aber
nichts, da natürlich sàmtliche Verweise auf diesen Seiten wieder die Rechnernamen enthalten, d.h., nach einem weiteren Klick bin ich
soweit wie vorher.

Ich verwende als Firewall/Virenscanner Symantec Antivirus, der findet aber beim Scannen nichts. Wo liegt das Problem? Habe ich mir
da einen noch neuen Trojaner eingefangen? Kennt das Problem vielleicht noch jemand?

Danke & Gruß aus Wien,

Ferry

Ing Ferry Bolhar
Magistrat der Stadt Wien - MA 14
A-1010 Wien
E-Mail: ferdinand.bolhar-nordenkampf@wien.gv.at
 

Lesen sie die antworten

#1 Michael Landenberger
05/08/2008 - 10:51 | Warnen spam
"Ferry Bolhar" schrieb:

ich beobachte seit einiger Zeit ein (noch) unerklàrbares Verhalten
auf
meinem XP Pro SP 2 System. IE und FF bleiben verhalten sich beim
Aufruf
bestimmer Seiten (z.B. www.yahoo.at, www.google.at) merkwürdig. Die
Seite wird (scheinbar) normal ausgegeben. Klickt man dann aber auf
dieser Seite auf einen Link, passiert nichts (der Browser scheint zu
hàngen), nach einiger Zeit (2...5 Minuten) wird man dann mit
Angeboten
von Sex- und Kontaktseiten überflutet. Auch eine Installation
von IE 7 half da leider nichts.



Das hört sich nach einer kompromittierten Hosts-Datei an, bei der
Zugriffe auf beliebte Seiten wie Yahoo oder Google auf Schadseiten
"umgebogen" werden. Möglicherweise ist auch dein Provider Opfer der
DNS-Verwundbarkeit geworden
(<http://www.heise.de/security/news/m...110641>).

Ich würde zunàchst die Hosts-Datei überprüfen. Du findest sie unter
<Windowsverzeichnis>\System32\drivers\etc. (<Windowsverzeichnis> ist
üblicherweise C:\Windows). Öffne die Datei mit einem Texteditor und
prüfe nach, ob sich dort Eintràge für yahoo.at oder google.at finden.
Wenn ja, hat irgendeine Schadsoftware die Datei veràndert und du musst
von einer Kompromittierung deines Rechners ausgehen, was eine komplette
Neuinstallation erfordert.

Sollte die Hosts-Datei sauber sein, würde ich testweise andere
DNS-Server eintragen als die, die dir dein Provider automatisch
zuweist. Das geschieht üblicherweise im Router. Falls du einen solchen
nicht verwendest, musst du die Änderung an der Breitband- oder
(W)LAN-Verbindung vornehmen, über die du ins Internet gehst. Du findest
diese Verbindungen unter Systemsteuerung -> Netzwerkverbindungen.
Klicke mit der rechten Maustaste auf die entsprechende Verbindung und
wàhle "Eigenschaften". Wàhle in der Liste das "Internetprotokoll
(TCP/IP)" und klicke auf "Eigenschaften". Wàhle dann "Folgende
DNS-Serveradressen verwenden:" aus und trage die Adressen 128.176.1.12
und 128.176.1.13 ein (das sind die DNS-Server der Uni Münster, bei
denen wurde besagte Sicherheitslücke nachweislich bereits beseitigt).
Bestàtige die Änderungen mit "Ok" und rufe dann nochmal www.yahoo.at
auf (möglicherweise musst du den Browsercache vorher leeren, damit die
Seite wirklich neu geladen wird). Wenn dein Problem jetzt weg ist,
waren die DNS-Server deines Providers die Ursache. Da man aber nicht
sicher sein kann, auf welchen Seiten man durch die kompromittierten
DNS-Server gelandet ist und diese Seiten weitere Schadsoftware auf
deinen Rechner geschmuggelt haben könnten, empfiehlt sich auch in
diesem Fall eine komplette Neuinstallation.

Ich verwende als Firewall/Virenscanner Symantec Antivirus, der findet
aber beim Scannen nichts.



Das kann daran liegen, dass nichts da ist. Es kann aber auch daran
liegen, dass derartige Software prinzipbedingt nichts taugt.

Gruß

Michael

Ähnliche fragen