WhiteVelvet
2008-07-28, 10:46:42
Hier in der Firma hat sich vor 2 Wochen ein Programm "antivirus2009-scanner" installiert, als ein Mitarbeiter nichtsahnend im Internet surfte. Gemein war der Button "Soll die Software installiert werden? Ja - Nein"... er hat zwar auf "Nein" geklickt, aber genau das war der Fehler. Die Software hat sich installiert. Habe sie anschließend wieder runtergeworfen, die Reg bereinigt, übriggebliebene Verzeichnisse gelöscht und einen "echten" Virenscanner drüberlaufen lassen. Nichts zu finden.
Ich schreibe gerade einen Bericht dazu, damit andere Mitarbeiter lernen, dass sie eben nicht auf "Nein" oder "Abbrechen" klicken dürfen, sondern direkt hier anrufen. Aber dazu muss ich erstmal verstehen, woher die Malware überhaupt gekommen ist.
Hier ein Auszug aus dem Log:
2008:07:07-08:46:15 method="GET" statuscode="404" url="http://www.irgendeineurl.de/favicon.ico" error="" category="1710"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1w.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_wr.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_rw.gif"
2008:07:07-08:48:57 method="GET" statuscode="302" url="http://58.65.234.163/e/adsr.php"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://codecs.microsoft.com/isapi/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="GET" statuscode="302" url="http://antivirus2009-scanner.com/soft.php?aid=014202&d=2&product=XPA"
Die erste URL ist eine kleine Dorf-Website, nichts aufregendes, gehackt wurde die sicher nicht. Aber vielleicht lag das Problem auch in einer gif-Datei, oder im activex... auf jeden Fall ist mir schleierhaft, was genau die Malware-URL aufgerufen hatte. Was meinen die Experten?
Ich schreibe gerade einen Bericht dazu, damit andere Mitarbeiter lernen, dass sie eben nicht auf "Nein" oder "Abbrechen" klicken dürfen, sondern direkt hier anrufen. Aber dazu muss ich erstmal verstehen, woher die Malware überhaupt gekommen ist.
Hier ein Auszug aus dem Log:
2008:07:07-08:46:15 method="GET" statuscode="404" url="http://www.irgendeineurl.de/favicon.ico" error="" category="1710"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/1w.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_wr.gif"
2008:07:07-08:48:56 method="GET" statuscode="404" url="http://www.irgendeineurl.de/SG%20LWL%2004/Banner-Schalter/start-Dateien/bg_rw.gif"
2008:07:07-08:48:57 method="GET" statuscode="302" url="http://58.65.234.163/e/adsr.php"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://codecs.microsoft.com/isapi/ocget.dll"
2008:07:07-08:48:58 method="POST" statuscode="404" url="http://activex.microsoft.com/objects/ocget.dll"
2008:07:07-08:48:58 method="GET" statuscode="302" url="http://antivirus2009-scanner.com/soft.php?aid=014202&d=2&product=XPA"
Die erste URL ist eine kleine Dorf-Website, nichts aufregendes, gehackt wurde die sicher nicht. Aber vielleicht lag das Problem auch in einer gif-Datei, oder im activex... auf jeden Fall ist mir schleierhaft, was genau die Malware-URL aufgerufen hatte. Was meinen die Experten?