Virus/malware seit 19.03.2014

Status
Für weitere Antworten geschlossen.

DarkSoul

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
283
Punkte für Reaktionen
0
Punkte
16
Hallo liebe Forums-Admins,

TREND MICRO OfficeScan meldet mir seit heute diesen Virus, wenn ich diese Seite mit dem IE8 besuche:

http://about-threats.trendmicro.com/us/malware/TROJ_IFRAME.CP

Bitte prüfen und entfernen, ich kann weder meinen Virenscanner, noch den Browser wechseln.

PS: Mit dem FireFox ist die Seite virenfrei, trotz JavaScript.

PPS: Da es sich um die Datei lg.gif handelt, könnte auch eine Fehlerkennung seitens Trend Micro der Fall sein.
 

DarkSoul

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
283
Punkte für Reaktionen
0
Punkte
16

Merthos

Benutzer
Mitglied seit
01. Mai 2010
Beiträge
2.709
Punkte für Reaktionen
2
Punkte
84
Symantec Endpoint Protection mit IE 10 meldet auch was: [SID: 23331] Web Attack: Malicious Image Request 2
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ist es nur die Startseite oder jede Seite? War vorhin im Büro auch im Forum mit Symantec Endpoint Protection, es wurde mir aber nichts gemeldet. Allerdings sehen wir als Mods bestimmte Werbung nicht. Habe mir gerade die Startseite als gast im Quellcode in ein File gehauen und dann an virscan.org zur Prüfung geschickt. Nur ein Scanner (VBA32) hat angeschlagen und das auch nur mit der heuristics paranoid Option. Der Scanner von TM hatte nichts zu beanstanden. Bei Virustotal meldet kein Scanner was
@Merthos
hast du allenfalls bei Symantec die Heuristik auf "sehr scharf" gestellt?
 

DarkSoul

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
283
Punkte für Reaktionen
0
Punkte
16
War nicht nur die Startseite.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Meldet denn dein TM den Treffer mit einer expliziten Signatur oder "nur" mit der Heuristik?
Kannst du mal folgendes testen: wenn der Scanner anschlägt wird dann immer der gleiche Werbebanner angezeigt? Zudem könnte es auch sein, dass das iframe erst lokal eingefügt wird. Solche Malware gibt es leider auch.
@Marc
kannst du dir mal deinen Apache anschauen? Nur um sicherzugehen, dass nicht dein Server so was mit sich rumschleppt: http://blog.unmaskparasites.com/2012/09/10/malicious-apache-module-injects-iframes/
Oder vielleicht mal die Werbung komplett deaktivieren und dann dem Topicstarter und Merthos melden, dass sie es dann mit ihren Scannern nochmals testen

Ich vergleich mal noch ob es einen Unterschied macht ob die Startseite als Mod angeschaut wird. Wenn ja dann ist es ziemlich sicher die Werbung
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Also als Mod die Startseite bei virscan.org und VBA32 schlägt auch nicht mehr an. Muss imho einer (oder alle) der Werbebanner sein. Hatte den Banner von redcoon als ich den Quelltext der Seite als Gast geholt habe
 

DarkSoul

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
283
Punkte für Reaktionen
0
Punkte
16
Da ich nicht will, dass meine IT-Abteilung unnötig auf mich aufmerksam gemacht wird kann ich leider keine weiteren Tests beisteuern.
 

Merthos

Benutzer
Mitglied seit
01. Mai 2010
Beiträge
2.709
Punkte für Reaktionen
2
Punkte
84
Ist es nur die Startseite oder jede Seite?...
@Merthos
hast du allenfalls bei Symantec die Heuristik auf "sehr scharf" gestellt?
Es war jede Seite und keine Ahnung, ist auf Arbeit.

Zumindest aktuell kommt nix, aber auch keine Werbung.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Bei mir wurde ausschließlich der Redcoon-Banner beanstandet und gefiltert - alle anderen Banner waren unauffällig.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat