Jan 11 2010
Trojaner Warnung – auch populäre Seiten gefährdet
Das Thema Accounthack läßt mich immer noch nicht los. Aus verschiedenen Gründen. Zum einen weil ich nochmal meinen Browser gewechselt habe (Opera gefällt mir wirklich sehr gut, das Programm hat sich echt gemacht seit ich das das letzte Mal getestet habe). Grund hierfür war auch, dass zunehmend auch Firefox Lücken exploited werden. Der andere Grund war, dass ich mir am Wochenende tatsächlich einen Trojaner eingefangen habe, den ich allerdings schnell finden und eliminieren konnte dank Spybot und Hijack This.
Wichtig ist hier zu erwähnen, wo ich mir die Malware eingefangen habe. Nach meinem Dafürhalten muß das bei Arenajunkies passiert sein, eine recht bekannte Seite, die sich – Nomen est Omen – der Arena von WoW auseinandersetzt und wo viele sehr hoch gerankte Spieler posten. Bestätigt wird mein Verdacht dadurch, dass ein Bekannter aus Addicted Zeiten mir gleiches berichtete. Es gilt also nach wie vor: Alarmstufe rot. Denn selbst wenn Blizzard ein Sicherheitsloch hat, heißt das nicht, dass man auf dem „Malware Auge“ blind sein sollte. Das Problem wird denke ich bei vielen Leuten, die ich kenne, sein, dass man eben nicht mit absolut wasserdichten Browsern und ähnlichem rumfuhrwerkt (ehrlich gesagt tu ich das auch nicht, weil ein scharf gestelltes Noscript schon sehr nervig sein kann) und dass die wenigsten Leute Hijack This oder Spybot kennen (AVG hat den Trojaner übrigens nicht gefunden).
Ich fühle mich derzeit nur deshalb halbwegs sicher, weil ich endlich letzte Woche meinen Authenticator bekommen habe (Blizzard baut wohl den Lieferstau langsam ab).
Ghanur
11. Januar 2010 @ 17:41
Das Hauptloch für die Trojaner dürfte inzwischen die ganze Schrottsoftware von Adobe sein!
Der Flashplayer hat mehr Löcher als ein Windows XP ohne Service Pack. Wobei Löcher nicht ganz stimmt, es handelt sich ja um „Features“…
Der Reader ist ebenfalls ein beliebtes Spielzeug der Malware-Authoren: jede Windowskiste muss heutzutage einen PDF-Reader installiert haben, der von Adobe ist der bekannteste…
Adobe hat ja inzwischen veröffentlicht, sie wollen demnächst mal ein paar Patches veröffentlichen…
Ghanur
Uralter Nörgler
PS: so langsam greift bei mir die Paranoia um – Hijack This, RootkitRevealer, die c’t-Security-CD und mein Virenscanner finden nie was 😉
Donatien/Rexxar
11. Januar 2010 @ 18:17
Mal doof gefragt, wie hat der, „Inhaber“ der Seite denn auf den Hinweis reagiert? Oder hast du da nicht nachgehakt?
Auf der CMS-Seite ist mein Favorit für Unfug übrigends TinyMCE, das gerne mal auch nicht überall aktuell gehalten ist, und auch bei EQDKP+ (Da allerdings momentan aktuell, wenn ich den Überblick noch habe) und vielen CMS-Dingern bei ist. Zumindest in einer Installation, die ich betreue, war vor einigen Monaten ein Teil der php-Seiten mit einem verschlüsselten Skript versehen, mit Links auf eine Datei im TinyMCE-Ordner. Dieser konkrete Script war allerdings für Werbeschaltung zuständig. Ist aber nach mehrfachen Updates nicht mehr aufgetaucht, und auch die Quelle war nicht konkret nachverfolgbar.
Von daher, das ist halt ganz bitter, wenn die DKP-Seite oder das Forum sowas verbreitet, und meistens merkt man nicht mal, was los ist.
Sandmann
12. Januar 2010 @ 01:09
Kennst du den dann auch den heise update Check[1], bzw Secunia PSI[2] worauf das ganze aufbaut?
Der Heise Check läuft glaub ich mit Java im browser, Secunia PSI ist ein Programm das man sich installiert und dann im Hintergrund/periodisch läuft und alle Software auf Aktuallität testet. Flash scheint dabei in letzer Zeit durchaus eine große lücke zu sein.
Opera ist ja persönlich auch mein Favorit aber ein FF+NoScript dürfte an sich meistens noch sicherer sein, sowas wie Youtube dauerhaft auf vertrauenswürdig zu hauen kann man ja trotzdem.
Oder man surft gleich mit eingeschränkten Nutzerrechten / unter Linux :P(da gibts auch Opera / FF etc. und dank Opera Link / FF wieauchimmerdashies) sind die Bookmarks auch überall gleich.
mfg & viel erfolg bei der weiteren Trojaner Abwehr sowie viel spaß mit dem core hound Puppy 😛
[1] http://www.heise.de/security/dienste/Update-Check-843063.html
[2]http://secunia.com/vulnerability_scanning/personal/
Mem
12. Januar 2010 @ 14:31
Das Problem ist, dass ich Seiten wie Ingame oder AJ an sich schon als trustworthy ansehe. Aber scheinbar wird auch da nicht sauber kontrolliert, was für eine Werbung geschaltet wird.
Sandmann
12. Januar 2010 @ 22:56
tja dank Werbung sowieso insgesamt immer mehr javascript/flash sowie(dadurch begünstigt) XSS gibt es sowas wie trustworthy quasi nichtmehr.