Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: MalwareSite, die auf Google.com weiterleitet...

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 27.03.2010, 15:15   #1
cookieray
 
MalwareSite, die auf Google.com weiterleitet... - Standard

MalwareSite, die auf Google.com weiterleitet...



Hintergrund ist folgender Vorfall:
>> hxxp://lastchaos-forum.gamigo.de/showthread.php?t=143773
(Diskussionspunkt ist der Analyse-Post auf der ersten Thread-Seite.)


im Telegrammstil:
Ein AdServer eines deustchen Online-Spiele-Publisher wurde offensichtlich kompromitiert und hat per IFRAME Code von einer Taiwanesischen Server-Adresse nachgeladen. Inzwischen wird der Code-Sample von Kaspersky als MalWare geführt (CodeSample wurde bei verschienden AntVir-Firmen zur Untersuchung hochgeladen):

hxxp://www.virustotal.com/de/analisis/5cd62c77e76e60ed311e01044ef12234637bde1703d8bba903b1000c02e1968a-1269693888

Zur Diskussion:

Code wird versucht von h**p://notydivi.com.tw/entropy/index.php abzurufen.
In den weitaus meisten Fällen wird aber einfach ein http-location Redirect an "www.google.com" rückgemeldet (ca. 30x). Erst nach weiteren Spielereien z.B. mit dem http "User Agent" wurde obskurer Code ausgeliefert.

Anbei ein geglückter Code-Abruf über websniffer.net (-xxx- zur Sicherheit im Text)
Zitat:
Connect to 95.143.192.-xxx-142 on port 80 ... ok

GET /entropy/index.php HTTP/1.0[CRLF]
Host: notydivi.com.-xxx-tw[CRLF]
Connection: close[CRLF]
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)[CRLF]
Accept-Encoding: gzip[CRLF]
Accept-Charset: ISO-8859-1,UTF-8;q=0.7,*;q=0.7[CRLF]
Cache-Control: no[CRLF]
Accept-Language: de,en;q=0.7,en-us;q=0.3[CRLF]
Referer: hxxp://web-sniffer.net/[CRLF]
[CRLF]

HTTP Response Header
Name Value Delim
Status: HTTP/1.1 200 OK
Date: Mon, 22 Mar 2010 22:02:04 GMT
Server: Apache
X-Powered-By: PHP/5.2.12
Pragma: no-cache
Cache-Control: no-cache, must-revalidate
Content-Encoding: gzip
Vary: Accept-Encoding
Connection: close
Content-Type: text/html; charset=UTF-8
Content (encoded: 9.46 KiB / decoded: 15.13 KiB)

<body><p>42</p><script></script><script>kryue="0F191_1d1e2Z2[1b2_1`3+3K1H1W1Z3-1X2S2X1S1T2R2f1Q3P1O2U1M2g1K321I373E1D1E2Q3,1@1A2J 271>3Y1<3f1:333Q0W10152^133_113V3Z1.2c1

[.....]

document.body.appendChild(hvcqy);</script></body>



Hat jemand Erfahrung, nach welchen Kritierien solche Malware-Server Code ausliefern? Scheinbar erfolgt das "intelligent" - einmal Malware ausgeliefert, bekomme ich nur noch(?) Weiterleitungen auf "google.com"...


Hinweis zur Klarstellung: Der betroffene Publisher spricht von einem AdScript-Fehler und übersensiblen Virenscanner - es hätte keine Gefahr bestanden. Deshalb sollte meine Aussage hier auch kritisch betrachten.

Alt 28.03.2010, 00:22   #2
BIOTEC
 
MalwareSite, die auf Google.com weiterleitet... - Standard

MalwareSite, die auf Google.com weiterleitet...



Danke für den Hinweis...

Schätze mal, das die sehr bald Off gehen sollten und ihren Code überarbeiten werden.

Die stehen sich auch bald in der malwaredomainlist und dann ist schluss mit dem Bloodhound Exploid...^^
__________________


Alt 28.03.2010, 01:04   #3
myrtille
/// TB-Ausbilder
 
MalwareSite, die auf Google.com weiterleitet... - Standard

MalwareSite, die auf Google.com weiterleitet...



Hi,

so nen code ist "immer" intelligent, es hilft ja nichts wenn du ne Firefoxschwachstelle bei Opera auszunutzen versuchst.

In der Regel wird ein Arsenal an Exploits verwendet. Wenn du also erstmal die Werbung siehst dann wird schnell sortiert was für ein Browser, welche Version usw genutzt wird um möglichst direkt zum Ziel zu kommen. Meist werden einige Exploits durchlaufen bevor einer gefunden wird, für den du anfällig bist.

Um dich nach dem ersten Besuch immer zu google weiterzuleiten statt zu inifizieren reichet unter umständen ein einfaches cookie.

MfG myrtille
__________________
__________________

Antwort

Themen zu MalwareSite, die auf Google.com weiterleitet...
agent, code, connect, einfach, encoded, erfahrung, folge, folgender, gamigo last chaos bot adserver, gefahr, hintergrund, kaspersky, malware, port, port 80, redirect, scan, scanner, schei, script, sicherheit, untersuchung, user agent, value, versucht, virenscan, virenscanner, weiterleitungen, windows, zwischen



Ähnliche Themen: MalwareSite, die auf Google.com weiterleitet...


  1. Google App Engine: Google reagiert träge auf Java-Sicherheitslücken
    Nachrichten - 18.05.2015 (0)
  2. Win 7: Google Chrome/Mozilla firefox lässt vermehrt Werbung auf Webseiten zu & Google Suchergebnisse scheinen manipuliert zu sein
    Log-Analyse und Auswertung - 29.04.2014 (8)
  3. Google Redirect - Malware - Google leitet falsch um
    Plagegeister aller Art und deren Bekämpfung - 26.12.2012 (21)
  4. google leitet mich auf falsche Seiten um (google redirect?)
    Log-Analyse und Auswertung - 14.08.2012 (20)
  5. Google Redirect Virus bzw. Google Hijack + PC Langsam
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (2)
  6. Google leitet mich immer auf andere Websites( manchmal sogar auf google selbst)
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (21)
  7. Google Chrome leitet Trojaner-Board Treffer bei Google auf dollarade.com um!
    Diskussionsforum - 07.02.2012 (18)
  8. Erst verfälschte Aufrufe aus Google-Trefferliste, jetzt kein Verbindungsaufbau mit Google möglich
    Plagegeister aller Art und deren Bekämpfung - 11.11.2011 (18)
  9. Virus der google anfragen auf unbekannte webseiten weiterleitet
    Plagegeister aller Art und deren Bekämpfung - 19.07.2011 (18)
  10. Google-Umleitung und eingeschränkte Google-Suche
    Plagegeister aller Art und deren Bekämpfung - 14.06.2011 (7)
  11. Google Suchwort-Links, springen wieder zur Google Startseite
    Log-Analyse und Auswertung - 12.06.2011 (10)
  12. Weiterleitung zu Epoclick, Gomeo, google analytics, google websites, google anderer länder
    Plagegeister aller Art und deren Bekämpfung - 10.05.2011 (6)
  13. Browser öffnet Google Seiten oder Werbung, Google Suche funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (26)
  14. ,,Google Virus" Problem bei google suche und PC extrem langsam
    Log-Analyse und Auswertung - 20.10.2010 (17)
  15. Google links führen immer zu google
    Log-Analyse und Auswertung - 09.05.2010 (1)
  16. Einige Google Suchergebnisse verweisen auf die URL http://go.google.com/ ....
    Mülltonne - 23.12.2008 (2)
  17. Ich werde immer von google umgeleitet auf abcjump oder go.google usw.
    Mülltonne - 27.11.2008 (0)

Zum Thema MalwareSite, die auf Google.com weiterleitet... - Hintergrund ist folgender Vorfall: >> hxxp://lastchaos-forum.gamigo.de/showthread.php?t=143773 (Diskussionspunkt ist der Analyse-Post auf der ersten Thread-Seite.) im Telegrammstil: Ein AdServer eines deustchen Online-Spiele-Publisher wurde offensichtlich kompromitiert und hat per IFRAME Code von - MalwareSite, die auf Google.com weiterleitet......
Archiv
Du betrachtest: MalwareSite, die auf Google.com weiterleitet... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.