• Gesamte Community
    • Gesamte Community
    • Foren
    • Ideen
    • Blogs
Erweitert

Nicht was Sie suchen? Die Experten fragen!

Danksagungen0

Web Attack : Malvertisement Website Redirect 3. Seltsamer Verursacher, auf eigenem PC?

Antworten

Danksagungen0

Re: Web Attack : Malvertisement Website Redirect 3. Seltsamer Verursacher, auf eigenem PC?

Hallo Schotenklee,

ich habe Dir zu den beiden aufgeführten IPs (die in der Norton Meldung mit aufgeführt sind) eine PN geschickt.

Gruß,

Yukon

Gruß, Yukon | Win 7 Home Prem (32-bit) | GD IS 25.1.0.4 | IE11, FF38.0.5
Danksagungen0

Re: Web Attack : Malvertisement Website Redirect 3. Seltsamer Verursacher, auf eigenem PC?

Nochmal Hallo, 

wir haben leider noch keine Erklärung dafür gefunden, dass Norton sowohl eine angreifende Website als auch eine Datei des Antivirenprogramms Spybot (bei der Datei handelt es sich nach Google-Recherche eventuell um einen Proxy) auf meinem Computer als Verursacher der Attacke angibt. Kann da jemand weiterhelfen?

Vielen Dank!

Danksagungen0

Re: Web Attack : Malvertisement Website Redirect 3. Seltsamer Verursacher, auf eigenem PC?

Hallo,

Ich sehe das so:

"Netzwerkverkehr von <b>octopusgalls.com/ref.html?id=cjtrader</b> entspricht der Signatur eines bekannten Angriffs.  Der Angriff wurde von \DEVICE\HARDDISKVOLUME2\PROGRAM FILES\SPYBOT - SEARCH & DESTROY 2\SDFSSVC.EXE verursacht."

Die Datei von Spybot, lauscht an einem Port und sendet Daten an octopussgalls. Link. Und dieser Verkehr, reps. die Antwort von octopugalls wird als Angriff bewertet. Wenn sich eine Datei auf Deinem Computer mit dem Internet verbindet, um etwas herunterzuladen, ev. eine Aktualisierung, dann findet der "Angriff" logischerweise von Deinem Pc aus statt.

"Schließlich attackiert hier eine Website auch ohne dass mein Browser geöffnet ist, und als Verursacher wird zusätzlich noch eine Datei auf meinem eigenen Computer genannt. " Logisch, Spybot kann sich auch ohne Browser mit dem Internet in Verbindung setzen, macht Norton ja auch.

Mach mal einen Vollscan mit MBAM, dann weisst Du mehr. Oder auch nicht....

(Download, Freeversion, installieren, aktualisieren, Vollscan, Log hier posten.)

Basler

Danksagungen0

Re: Web Attack : Malvertisement Website Redirect 3. Seltsamer Verursacher, auf eigenem PC?

Hallo Basler, 

vielen Dank für die Antwort, ich denke das macht die Sache klarer...

Mit MBAM habe ich gestern schon einen Fullscan incl. Rootkits gemacht, aber nichts gefunden. Hier der Log:

Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlauf Datum: 19.08.2014
Suchlauf-Zeit: 15:45:11
Logdatei: MBAM_Log_19082014.txt
Administrator: Ja

Version: 2.00.2.1012
Malware Datenbank: v2014.08.19.06
Rootkit Datenbank: v2014.08.16.01
Lizenz: Testversion
Malware Schutz: Aktiviert
Bösartiger Webseiten Schutz: Aktiviert
Self-protection: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x86
Dateisystem: NTFS
Benutzer:

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 291069
Verstrichene Zeit: 16 Min, 34 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristics: Aktiviert
PUP: Warnen
PUM: Aktiviert

Prozesse: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registrierungsschlüssel: 0
(No malicious items detected)

Registrierungswerte: 0
(No malicious items detected)

Registrierungsdaten: 0
(No malicious items detected)

Ordner: 0
(No malicious items detected)

Dateien: 0
(No malicious items detected)

Physische Sektoren: 0
(No malicious items detected)


(end)

Kann man sich das, was da passiert ist also eventuell so vorstellen: Die Datei von Spybot besitzt eine Sicherheitslücke, weshalb sie auf dem entsprechenden Port auf eigentlich nicht authorisierte Zugriffe von außen lauscht und antwortet. Der Computer/das Netzwerk das hinter dieser Octopusgalls-Seite steht scannt an Ports auf zugängliche Adressen. Wenn an einem Port eine zugängliche Adresse gefunden wird (etwa aufgrund von SDFSSVC.EXE), versucht die Seite Verbindung aufzunehmen. Dann könnte die Seite über SDFSSVC.EXE vom Zielcomputer Daten klauen - oder evtl. auch Schadsoftware auf dem Zielcomputer installieren? Wobei unter dem file.net-Link nur eine Sendefunktion erwähnt ist. 

Viele Grüße

Schotenklee