Hallo,

wenn ich mit Firefox unter Win98SE die URL hxxp://195.225.177.14/1ro/gallery.html ansurfe (reproduzierbar), meldet mir AntivirPE ein paarmal den Virus "TR/Nocheat.5" oder "TR/Nocheat.2" in C:\Windows\.JPI_CACHE...
Nachdem diesen gelöscht habe, befindet sich auf dem Desktop ein Icon "XXX_Files" zum Öffnen der Seite casinopalazzo.com im Internet Explorer.
Gleichzeitig wird der IE mit dieser Seite geöffnet.
Außerdem laufen dann Tasks, die vorher nicht da waren.
Nach einem Neustart ist wieder alles normal.

Leider durchschaue ich nicht im geringsten, wie die Seite das macht. Wegen der Frames und Weiterleitungen schaffe ich es nichtmal, den ganzen Sourcecode zu lesen. Kann mir wer sagen, was da passiert und wie ich sowas vermeiden kann?
(Jaja, ich weiß: keine verdächtigen Seiten anklicken)

edit: wenn ich Java deaktiviere, passiert das nicht.

Martin

Meinst Du Java oder Javascript?
Die Weiterleitung funktioniert nur mit Java-Script

(Java von Java-Script unterscheiden zu können schadet allerdings wirklich nicht)

Ukraine und "TEEN PICS" ist halt gefährlich
mal weiter sehen

Hallo Shadow,

Java. Das Applet heißt mein.class und kommt von der Domain awmdabest.com.

Martin

Habe es (das Java-Applet) nicht gesehen, komisch.
Vielleicht weil ich mit englischem Firefox 0.9.3 dort hin bin?
Welche Version hast Du?

Mozilla/5.0 (Windows; U; Win98; en-US; rv:1.7) Gecko/20040626 Firefox/0.9.1
Mit der manuellen Änderung in about:config upgedatet, anstatt 0.9.2 zu installieren.
Bei der Verfolgung des Quelltextes habe ich das Applet auch nicht gefunden. In der Statusleiste sehe ich sogar den Aufruf eines zweiten Applets.

Edit: erste Gehversuche im DOM-Inspector:

Hallo Martin,

vllt. eher ein Problem (einer Sicherheitslücke) der bei Dir installierten Version des Java-Plugin von SUN?
Als ich die Seite unter der Konstellation
WIN98SE und
JRE 1.4.2_02
die von Dir genannte Seite aufgesucht habe, bekam ich von KAV die gleiche Warnung. Danach habe ich es unter
XP SP2 und
JRE 1.4.2_05 probiert und es wurde offensichtlich nichts lokal gespeichert.
Danach habe ich dann das Java-Plugin unter Win98 aktualisiert und nun meldet mir KAV auch dort keine Malware mehr. Und es wird auch keine .class mehr lokal gespeichert.
Lange Rede - kurzer Sinn: Welche Version des JRE hast Du bei Dir installiert?

Mit einem Fx Nightly vom 25.08.2004 und JAVA 1.5.0-beta2 finden sich 3 Trojaner im JAVA Cache. Ansonsten keine Änderungen am W2k System.....

Sorry, ich muss meine Aussage von heute Mittag revidieren!
KAV findet auch jetzt in der class-Datei den besagten Trojaner.
Allerdings ist hier auch sonst keine Veränderung des Systems festzustellen.

Du hattest trotzdem recht, Lutz, es lag an meiner veralteten Java-Version (1.4.1_01). Nach Update auf 1.4.2_05 kommen nur noch die Trojanermeldungen aber Desktop und Internet Explorer werden nicht angetastet. Dass man auch Java mal aktualisieren muss, war völllig an mir vorbeigegangen.

Interpretiere ich die Trojaner-Warnungen richtig, wenn ich annehme, dass diese nur in den JAVA Cache gelangt sind, aber auch keinen Schaden anrichten würden, wenn der Virenscanner sie nicht gefunden hätte? (zumindest mit der aktuellen Java-Version)

Vielen Dank an alle Mitwirkenden, Martin