eMuleFuture

[pesti]

@ watzmann

Darf man denn mal erfahren, welchen Virenscanner du nutzt, bzw. diesen Log ausgeworfen hat?

Ich nutze Nod32 und der hat nichts gemeldet. Und der schlechteste ist das mit Sicherheit nicht, gelle?

P.S.: Freut mich immer wieder, dass du doch noch immer vorbei guckst.

[WiZaRd]

@Pesti: ich hab das Teil mal runtergeladen und dann gescannt - NOD32 v2.7.x - selbe Info wie bei watzmann.

[just a reader]

Hallo,
hab das hier mitverfolgt. Hatte die pdf welche eine leere Seite visuell darstellte mehrfach heruntergeladen mit Firefox, IE sowie auch mit der neuesten Opera 10. PDF reader plugins sind in allen Browsern aktiviert, Acrobadreader brachte die Aufforderung zum aktivieren von Javascript.
Meine Frage habt ihr die pdf gesichert und bei Nod wie auch anderen AV's die es dato nicht erkannten eingereicht (nicht die bin.exe)?
Einen Analysebericht von virustotal.com (vor den gestrigen Updates und Heute) wuerde hier nicht falsch an Stelle sein.
Die Bin.exe wird erkannt zumindest bei Zugriff bei Nod neuerdings. Was mit den eingebundenen javacode in der leeren pdf ist weis ich nicht, haette die emule.pdf nicht loeschen sollen so koennte man das ja mal ansehen was die genau macht. Vermute trojan downloader und noch mehr.
Meine logik ist folgende. Jemand hat ne pdf (pdf ist ausfuerbar und java laesst sich wie auch bei flash einbinden) mit euren upload manager auf euren server hochgeladen, diese irgendwie ausgefuert so das client und serverseits eine infizierung erfolgte.
Man sollte von sowas ein backup machen dann die pdf mit hexviewer aufmachen um den Inhalt zu sehen bevor das noch auf anderen Servern passiert um den vorzugreifen.

[pesti]

@ WiZ

Warum hat meiner dann nicht angeschlagen?
[attachment=959:Aufzeichnen.JPG]

Wie hast du dir das Teil runtergeladen? Einfach über den Link von watzmann und dann "speichern unter"?

[WiZaRd]

Er hatte bei der pdf schon angeschlagen, bei dem Link von watzmann aber auch...



Und hier die NOD32 Info:

NOD32 antivirus system information
Virus signature database version: 4063 (20090508)
Dated: Freitag, 8. Mai 2009
Virus signature database build: 15766

Information on other scanner support parts
Advanced heuristics module version: 1091 (20090309)
Advanced heuristics module build: 1200
Internet filter version: 1.002 (20040708)
Internet filter build: 1013
Archive support module version: 1085 (20090428)
Archive support module build version: 1227

Information about installed components
NOD32 For Windows NT/2000/XP/2003/Vista/x64 - Base
Version: 2.70.39
NOD32 For Windows NT/2000/XP/2003/Vista/x64 - Internet support
Version: 2.70.39
NOD32 for Windows NT/2000/XP/2003/Vista/x64 - Standard component
Version: 2.70.39

Operating system information
Platform: Windows Vista ™ Ultimate
Version: 6.0.6002 Service Pack 2
Version of common control components: 5.82.6001
RAM: 2048 MB << sind 3GB - offenbar 'nen Bug?
Processor: AMD Turion™ 64 X2 Mobile Technology TL-68 (2405 MHz)

[pesti]

09.05.2009 10:38:09 Echtzeit-Dateischutz Datei C:XXXCCCCCDesktopEigene Dateienbin.exe Variante von Win32/Injector.NX Trojaner Gesäubert durch Löschen - in Quarantäne kopiert Ereignis beim Bearbeiten einer Datei durch die Anwendung: C:Program FilesLeechGet 2009LeechGet.exe.

Jetzt hat es geklappt, ich bin beruhigt. Keine Ahnung, warum er sich letztens nicht beim Aufrufen der Seite regte.

[winmann]

das neue avira findet mir viel zu wehnig drum bin ich jetz auf avg free umgestigen und der hatt auch keine nervige werbung bloß 1 der scan dauert dort etwas länger aber findet auch weit mehr sogar tracking cockies!

[only a reader]

Nein. Eure Seite hat bei Aufruf zu der emule.pdf umgeleitet. Mit herunterladen meinte ich die Browser haben automatisch statt die Homepage die pdf versucht zu öffnen was ja logisch ist wenn Acrobat Reader installiert ist sind auch die Plugins aktiviert um pdf im Browser darzustellen. Hab den link verfolgt und ne lokale Kopie angelegt. Am nächsten morgen las ich eure Meldung das jemand die Homepage modifiziert hat. War zuvor der Meinung das ihr mit der pdf vorhabt eine download liste zu erstellen und dachte es sei gewollt. Nachdem ich dann las das es dem nicht so sei hab ich die pdf natürlich gelöscht statt zu inspizieren. Das Ziel welches eine Trojan oder Virus Datei von einer url laed (eine exe oder was auch immer) ist meiner Meinung nach irrelevant. Der der den JavaScript in die pdf eingebunden hat kann im selben verfahren zu x beliebige Arten von Dateien mit Tojanern und url's das erneut machen. Daher ist die PDF Datei der Punkt wo man ansetzen muss um diese zu identifizieren statt nur das ziel (den Virus selbst) was darin festgelegt ist.
Acrobat reader sollte so konfiguriert sein das er eine Meldung bringt wenn javacode in einer pdf ist ob man es ausführen will oder nicht, zumindest hab ich das bei mir schon immer bei jeder Acrobat reader Version so eingestellt.

Hab auch Nod drauf, zeigte Dato nichts an. Selbst wenn es nun lediglich die Ziel Datei (bin.exe) erkennt fühlen ich mich nicht sicher. Wie auch immer am Firewall sollte man es merken wenn plötzlich eine neue Datei versucht online zu kommunizieren.

[Spike2]

das neue avira findet mir viel zu wehnig drum bin ich jetz auf avg free umgestigen und der hatt auch keine nervige werbung bloß 1 der scan dauert dort etwas länger aber findet auch weit mehr sogar tracking cockies!

Klingt gut, werde ich mal in's Auge fassen !

Nein. Eure Seite hat bei Aufruf zu der emule.pdf umgeleitet. Mit herunterladen meinte ich die Browser haben automatisch statt die Homepage die pdf versucht zu öffnen was ja logisch ist wenn Acrobat Reader installiert ist sind auch die Plugins aktiviert um pdf im Browser darzustellen.

Jup ! War bei mir ganz genauso. emulefuture.de leitete direkt auf die pdf um, emulefuture.eu nur manchmal (seltsam).

Acrobat reader sollte so konfiguriert sein das er eine Meldung bringt wenn javacode in einer pdf ist ob man es ausführen will oder nicht, zumindest hab ich das bei mir schon immer bei jeder Acrobat reader Version so eingestellt.

Ich auch, und das ist wirklich ein wichtiger Sicherheitstipp !!

[magicm13]

<div class='quotetop'>ZITAT

Acrobat reader sollte so konfiguriert sein das er eine Meldung bringt wenn javacode in einer pdf ist ob man es ausführen will oder nicht, zumindest hab ich das bei mir schon immer bei jeder Acrobat reader Version so eingestellt.

Ich auch, und das ist wirklich ein wichtiger Sicherheitstipp !!
[/quote]

Und wo genau wird das eingestellt? Acrobat Reader 9 ... bzw. auch bei den älteren ...