PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Panikmache von Ad-Aware


Aqualon
2004-08-29, 01:26:11
Ich hab mir heute mal wieder Ad-Aware installiert (die neue SE-Version) und beim ersten Scan gleich einen großen Lacher unterdrücken müssen *g*

Stand da doch rot und fett, dass ich ein "new critical object" auf der Platte hätte. Also mal genauer nachgeschaut. Aha, ein possible browser hijack sollte es also sein. Die Startseite war also mit böswilliger Absicht überschrieben worden. Bloß seltsam, dass ich die Startseite vom IE selbst nach Installation vom SP2 auf eine leere Startseite zurückgesetzt hatte und seitdem weder mit dem IE online war, noch irgendwelche neue Software installiert hatte.

Also den Scanlog mal genauer betrachtet und folgenden bahnbrechenden Sicherheitshinweis entdeckt:


Possible Browser Hijack attempt Object Recognized!
Type : RegData
Data : "about:blank"
Category : Data Miner
Comment : Possible Browser Hijack attempt
Rootkey : HKEY_USERS
Object : [...]\Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"


Da wurde doch glatt die wertvolle MSN-Startseite, die sonst immer auftaucht durch eine hinterhältige Seite namens about:blank ersetzt. Das konnte ich natürlich nicht zulassen und hab den entsprechenden Eintrag gleich unter Quarantäne gestellt!

Schon interessant, vor welch bedenklichen Einstellungen Ad-Aware den nichts ahnenden Benutzer warnt ;)

Aqua

mapel110
2004-08-29, 01:47:32
und sowas findet man sonntag morgens um halb 2 nachts raus. :D

dass personal firewalls gerne pseudo-alarm auslösen, ist ja bekannt, aber sowas.... wohin soll das noch führen?!

sun-man
2004-08-29, 01:53:13
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html


Cool, oder? Panikmache ist was anderes.....

Man lacht also nur solange bis man mal Google angeworfen hat und sehr schnell herausfindet das Adaware recht hat.

MFG

(del676)
2004-08-29, 02:15:31
http://img53.exs.cx/img53/3082/ZA.gif

ich wollte ZA mal selbst austesten und schaun wieviel ach so schlimme programme auf meinem PC nach hause telefonieren - das war im attack log nachdem ich alle progs einmal gestartet hab :rolleyes:

der pöhse pöhse Firefox connectet zum phösen phösen H4x0r mit der IP 127.0.0.1 :)

Gast
2004-08-29, 02:24:23
Cool, oder? Panikmache ist was anderes.....

Man lacht also nur solange bis man mal Google angeworfen hat und sehr schnell herausfindet das Adaware recht hat.
In diesem Fall hat Ad-Aware aber nicht recht. Die Startseite ist tatsächlich einfach eine leere Seite, und wurde von Hand bewusst so eingestellt. Ad-Aware meldet das aber selbst dann als mögliche Browserentführung wenn vorher in den Ad-Aware Optionen "about:blank" als Standard-Startseite eingetragen wurde.
Ad-Aware SE hat neben den fehlenden Sprachdateien eine Reihe von Bugs und das ist einer davon.

LV-1201
2004-08-29, 02:24:53
@Mogul
Hm, interessant! Guter Hinweis! Das war mir auch neu.

Allerdings macht AdAware auch dann "Krach", wenn es sich tatsächlich nur um eine leere Startseite handelt.

@Aqualon
Dies war aber bei der "alten" Version auch schon so. So in etwa ab den letzten 5 Aktualisierungs-Scanfiles.

Aqualon
2004-08-29, 02:39:05
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Cool, oder? Panikmache ist was anderes.....

Man lacht also nur solange bis man mal Google angeworfen hat und sehr schnell herausfindet das Adaware recht hat.

Was diese Seite aber nicht offenbart ist, wie ein Eintrag "about:blank" in einem der genannten Schlüssel auf eine andere Seite umleiten soll. In dem beschriebenen Fall steht da doch "res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)" und nichts mit about:blank. Wie soll das also funktionieren?

Aqua

Lokadamus
2004-08-29, 02:39:41
mmm...

Ulukay
Welche Version hast du den genommen? aktuell ist 5.1.011.000 oder höher ... irgendwie haben sie jetzt die Sache mit den Programmen umgeändert und neben den Alerts noch einen Button für Programme eingebaut ... in einige Zeit wird es interessant, zu sehen, was noch alles eine Verbindung aufbauen will, aber einige Programme wollen nur eine lokale Verbindung haben, frag mich nicht, warum. Muss an der Arbeitsweise von Windows liegen ...

(del676)
2004-08-29, 03:17:26
also bis jetzt hatte ich anscheinend noch keine software die ins inet connecten will

Lokadamus
2004-08-29, 03:48:45
mmm...

Brauchst im Prinzip nur F1 drücken, wenn du auf dem Desktop bist. Das Hilfezentrum will auch gleich eine Verbindung aufbauen. Hin und wieder will das eine oder andere Setupprogramm auch eine Verbindung aufbauen usw. ...

H5N1
2004-08-29, 05:21:52
Schon interessant, vor welch bedenklichen Einstellungen Ad-Aware den nichts ahnenden Benutzer warnt ;)
"Spybot - Search & Destroy 1.x" zeigt mir beim Scannen von "Creative Restore Defaults" (Das ist ein Link zum Programm um die Einstellungen meiner Soundkarte zurückzusetzen) jedesmal einen angeblichen Dialer an - aber nur wenn das .lnk-File bei mir auf dem Desktop liegt. :)

Klingone mit Klampfe
2004-08-29, 11:46:44
AdAwareSE hat auch meine Lite-Step-Shell als Gefahr erkannt... für sowas gibt es halt dann die Ignore-Funktion. Allerdings wäre mir auch keine Malware bekannt welche gleich die ganze Shell auswechselt...