warnung?

    moin,


    hab gerade diesen beitrag in einem anderen forum gefunden:


    "Hallo Freunde ,


    werdet ihr beim surfen im Meerwasserlexikon , aufgefordert ein Adobe


    reader ActiveX Steuerelement zu laden , was unbedingt zum Abspielen


    eines Tiervideos gebraucht wird , so macht das auf keinen Fall .


    Einen genauen Bericht mit einer ausdrücklichen Warnung findet Ihr


    unter " heise online " im Internet .


    Durch die Sicherheitslücke dieses Abspielprogramms konnte sich trotz


    Antiviren Programm ein Phishingprogramm auf meinen Computer


    einschleichen und ich musste gestern mein Internetbanking sperren


    lassen . "


    was ist da dran?

    Ich stand mit dem betroffenem benutzer per email in kontakt. Stand ist folgender:


    1.) Ich habe das Script und alle Datein des Lexikons auf dem Server mit einem Virenscanner scannen lassen:


    ----------- SCAN SUMMARY -----------
    Known viruses: 405437
    Engine version: 0.93.1
    Scanned directories: 155
    Scanned files: 19071
    Infected files: 0
    Data scanned: 2974.44 MB
    Time: 707.547 sec (11 m 47 s)


    dort ist also nichts infiziert.


    2.) Um Videos abspielen zu können benötigt man auf korallenriff und dem lexikon den flashplayer von adobe. Ein einfaches javascript wie es u.a. auch bei youtube im einsatz ist ermittelt bei korallenriff und dem lexikon ob der Benutzer einen flashplayer installiert hat und ob er neuer als Version 9.0.115 ist. Trifft dies zu werden die videos abgespielt. Ist kein flashplayer installiert wird ein link zu adobe.com angezeigt wo man sich kostenlos den flashplayer herunterladen kann. Für alle jene die nicht so fit im umgang mit pcs sind: adobe ist der Hersteller des flashplayer.
    Ohne den flashplayer ist es nicht möglich flash(videos) abzuspielen.
    Adobe ermittelt anhand des Betriebsystems und des Browsers welche Art von Plugin der Benutzer benötigt.


    3.) Weder das lexikon noch korallenriff setzen auf pdfs oder andere Dateiformate welchen den adobe reader voraussetzen. Folglich ist er für die Benutzung von Korallenriff oder dem Lexikon nicht nötigt und es besteht aus meiner Sicht kein bedarf per Script abzufangen ob der reader installiert ist und den Benutzer ggf. aufzufordern ihn zu installieren.


    4.) Vor ein paar jahren gab es einmal das Problem das es jemand geschaft hatte über einen iframe schadcode über eine 3. seite zu laden. ich war nicht in der lage irgendwelche iframes oder cross-site-scripting lücken im code zu entdecken.



    ich habe wie gesagt alles durchgesehn, aber die angaben des betreffenden benutzers waren sehr schwammig und es lies sich nichts reproduzieren. Sollte jemand Probleme feststellen möge er sich bitte an mich wenden. Bei über 3.000 Benutzern am Tag sollte ein Fehler mehr als eine Person betreffen. ich darf euch zudem versichern das wir es bekannt geben würden, sollte das lexikon für die verbreitung von schadecode verwendet worden sein.


    wärst du so nett und teilst mir noch den link zu dem thread im anderem forum per pn mit?


    gruß


    Peter

    H(a)i!
    Diese Warnung ist so richtig halbgar.


    Erstens vorweg: Die im Meerwasserlexikon bereitgestellten Videos sind im Flash Format. Das zu installierende Plugin hat also nichts mit dem Adobe Acrobat zu tun. Ab Version 9 ist der Acrobat zwar in der Lage Flash-Videos in PDFs einzubinden, dies wird hier aber nicht gemacht.


    Zweitens im Detail: Leider sind alle Videoplugins und auch Standalonplayer, egal ob es sich dabei um den Windows Mediaplayer, Apples Quicktime oder hier eben Flash, handelt, ziemlich mit Bugs behaftet. So häufen sich zum Beispiel gerade vornehmlich im Privatbereich mit Ad-Ware, Spyware, Spam-Trojanern und so weiter infizierte Rechner bei denen die Infektion über manipulierte "eingetauschte" MP3 oder WMA Dateien und den Windows Mediaplayer erfolgte.


    Das selbe Angriffsszenario ist aber auch durch Lücken im Flash-Plugin möglich. Auf diese Tatsache will der Autor der Warnung als Quintessenz wohl hinaus.


    Angriffe diese Art waren in der Vergangenheit häufig über Fehler in den Javascript Interpretern erfolgt oder auch über manipulierte Bilder und Bugs in der Windows GDI-Bibliothek. Da das Grundgerüst der verschiedenen Webbrowser aber mit der Zeit immer stabiler wurde, haben sich die Angriffe heute eher in Richtung Browser-Plugins verlagert.

    Hallo zusammen,


    wie mir zugetragen wurde gibt es einen weiteren benutzer des lexikons der in einem anderem forum behauptet wärend der benutzung des lexikons von selbigen mit einem trojaner infiziert worden zu sein. Im aktuellen fall soll es sich um TR/Dldr.FraudLoad.111104.5 handeln.


    Ich hab die letzten tage den php und html code hoch und runter gewälzt und nichts gefunden. Da ich nichts finden konnte habe ich mir die mühe gemacht und vista in einer virtuellen maschiene installiert. danach wurde antivir installiert und mit dem IE7 das Lexikon aufgerufen. Da es sich dabei um ein jungfreuliches system gehandelt hat musste ich noch das flashplayer plugin installieren um videos abspielen zu können.


    Das ganze habe ich per screencapture mitgeschnitten. Das video kann man unter http://www.meerwasser-lexikon.de/lexikon-video-vista.mpeg ansehen. es ist 13 MB groß.


    Bei der ganzen Prozedur gab es keine anzeichen einer versuchten infektion.


    Ich möchte daher die Benutzer, welche behaupten über das Lexikon infiziert worden zu sein, bitten mir per eMail mitzuteilen wie sie vorgegangen sind um vom lexikon infiziert worden zu sein. In beiden fällen scheinen ja wächterprogramme im hintergrund angesprungen zu sein, so das eine reproduktion leicht möglich sein sollte.


    mfg


    Peter

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden