Seite 1 von 2 12 Letzte
  1. #1
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard [Warnung] kinox.to verteilt Java Drive-By Schadsoftware

    Guten Tag,

    ich durfte vorher live miterleben, wie auf dem PC eines Kollegen unmittelbar nach dem Aufruf von kinox.to ein Java Drive-By ausgeführt wurde.
    Ein Irrtum ist ausgeschlossen, es waren keinerlei andere Seiten geöffnet.
    Firefox wurde gestartet und kinox.to aufgerufen. Direkt im Anschluss wurde Java geladen.
    Bevor man überhaupt eine Chance hatte zu reagieren, wurden alle Anwendungen geschlossen und man sah den bekannten "GEMA-Virus" in Fullscreen:


    Klicke auf die Grafik für eine größere Ansicht 

Name:	gema.png 
Hits:	864 
Größe:	95,7 KB 
ID:	2980

    Taskmanager und so weiter natürlich deaktiviert, man kommt hier im normalen Modus als nicht weiter.

    Wie sich herausgestellt hat, war auf dem System nicht die aktuellste Java-Version installiert.
    Insbesonders Flash und Java sind dafür bekannt, regelmäßig neue Sicherheitslücken aufzuweisen.

    Daher an dieser Stelle der wichtige Hinweis an alle:

    Haltet euere Browser-Plugins aktuell!

    Eine automatische Prüfung aller Plugins auf aktualität ist hier möglich : Mozilla Plugin Security-Check

    Wird ein veraltetes Plugin entdeckt für das Sicherheitslücken bekannt sind, wird euch das entsprechend angezeigt und ihr könnt direkt updaten:

    Name:  vuln.PNG
Hits: 886
Größe:  9,0 KB


    Das Java Drive-By wurde wahrscheinlich über eine Werbeanzeige eingeschleußt.
    Seiten wie kinox.to sind für Werbeanbieter Sonderfallseiten, die nur von (meist unserösen) Anbietern vermarktet werden, welche ebenfalls Sonderfall-Werbekunden haben.
    Dazu gehört Beispielsweise Werbung für Pornoseiten, die man auf fast jeder Warez-Seite vorfindet.

    Daher rate ich: Java deaktivieren

    Es handelt sich bei allen derzeit bekannten Versionen um sogenannte Java Drive-Bys.
    Ihr könnt Seiten wie kinox.to also gefahrlos besuchen, wenn ihr in eurem Browser die Java-Erweiterung deaktiviert.
    Das ist heutzutage eigentlich kein großes Problem, da nur noch wenige Seiten auf die mittlerweile veraltete Technik der Java-Applets setzen (Knuddels ist natürlich - wie immer - eine Ausnahme )

    Um die Java-Erweiterung zu deaktivieren, ruft ihr die Liste eurer Addons auf (Firefox: Extras => Add-ons oder Tastenkombination [Strg] + [Umschalt] + [A]).
    Dort klickt ihr bei allen Einträgen, die mit Java anfängen, etwa

    Klicke auf die Grafik für eine größere Ansicht 

Name:	java_enabled.PNG 
Hits:	363 
Größe:	71,6 KB 
ID:	2982

    rechts auf 'Deaktivieren'

    Klicke auf die Grafik für eine größere Ansicht 

Name:	java_disabled.PNG 
Hits:	379 
Größe:	83,2 KB 
ID:	2983

    Damit ist das Plugin nicht länger aktiv, und ihr seid erstmal sicher.
    Zumindestens solange, bis keine Lücken in anderen Erweiterungen (wie z.B. Flash) gefunden und ausgenutzt werden.

    UPDATE:
    Fast alle Browser bieten mittlerweile Click2Play an, sodass Java-Applets erst nach ausdrücklicher Bestätigung ausgeführt werden. Wenn ihr Java zwingend braucht (zb für Knuddels) und auf Nummer sicher gehen wollt, nutzt einen seperaten Browser mit aktiviertem Java, den ihr nur für diese Seiten verwendet. Zumindest Click2Play solltet ihr jedoch nutzen. Sofern ihr Java nicht oder nur sehr selten braucht seid ihr am sichersten dran, wenn ihr das Plugin im Browser komplett deaktiviert und nur bei Bedarf aktiviert.
    Java-Applets in der heutigen Zeit einfach so von jedem ausführen zu lassen ist verantwortungslos, da aktuell (Februar 2013) fast 90% aller Exploits das Browser-Plugin von Java angreifen:

    Name:  exploit-types.png
Hits: 856
Größe:  86,2 KB

    Weitere Details zur (vermutlichen) Version dieser Schadsoftware:

    Spoiler:

    Dateisystem:
    C:\Benutzer\evild3ad\AppData\Local\Microsoft\Inter net Explorer\MSIMGSIZ.DAT
    C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\History\History.IE5\index.dat
    C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\1T30MVXC\index[1].htm
    C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\1T30MVXC\index[2].htm
    C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\35GYE11Q\6540321325490242[1].mp3
    C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\35GYE11Q\bg[1].gif
    C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\51AHU6XV\buttons[1].css
    C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\CLHS5NP1\jquery.min[1].js
    C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\CLHS5NP1\keyboard[1].js
    C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windo ws\Temporary Internet Files\Content.IE5\index.dat
    C:\Benutzer\evild3ad\AppData\Local\Temp\bcktemp021 2.tmp
    C:\Benutzer\evild3ad\AppData\Local\Temp\~DFFD55867 AA4D33736.TMP
    C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64l o.exe
    C:\Benutzer\evild3ad\Desktop\dwlGina3.dll
    C:\Windows\System32\drivers\etc\hosts Download
    Wichtigster Unterschied zur ersten Version ist die Manipulation der Hosts-Datei. Diese wird dahingehend abgeändert, dass u.a. alle Anfragen bezüglich AV-Hersteller und Microsoft an “127.0.0.1” umgeleitet werden. Dies hat zur Folge, dass z. B. keine Virendefinitionen mehr aktualisiert werden und auch die Microsoft-Updates nicht funktionieren.

    Registry:
    HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{JJhOKXSl-ZUWD-ubpK-1idX-wzG4eyU41q1K}\olmwKSKlNdgCU6b = “C:\Users\Admin\AppData\Roaming\ActiveX32_64lo.exe ” /ActiveX
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64l o.exe
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \olmwKSKlNdgCU6b = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64l o.exe
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64l o.exe
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \olmwKSKlNdgCU6b = C:\Benutzer\evild3ad\AppData\Roaming\ActiveX32_64l o.exe
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer -> NoDesktop
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System -> DisableRegistryTool, DisableTaskMgr
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced -> HideIcons
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\0\ -> Wert “1400″ auf “0″
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\1\ -> Wert “1400″ auf “0″
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\3\ -> Wert “1400″ auf “0″
    Die empfohlenen Sicherheitseinstellungen im Internet Explorer werden reduziert. Der Registrierungswert “1400″ (Active Scripting”) wird bei den o.g. Sicherheitszonen auf “0″ (aktiv) gesetzt. Das Formular bzw. Eingabefeld für die PIN ist in einer HTML-Page eingebettet und kann nun mittels ActiveX gerendert werden und nach Validierung der PIN mittels JavaScript an den Schurken-Server übermittelt werden.

    DNS Requests:
    Unsub Page (87.255.73.20)
    Unsub Page (87.255.73.20)
    Upload Music | How To Upload Music | Uploading Music (96.9.189.82)
    ajax.googleapis.com

    HTTP Requests:
    Unsub Page GET /wasgehtalter_panel/gate.php?…
    Unsub Page GET /wirbrauchenbass_bezahlung/index.php
    Upload Music | How To Upload Music | Uploading Music GET /MUSIC/6540321325490242.mp3


    Name:  Wireshark3-small.png
Hits: 808
Größe:  32,0 KB


    Funktionalitäten:

    - liest die laufenden Prozesse aus
    - liest Benutzername und SystemDefaultLangID aus
    - übermittelt generierte Hardware ID, Computername, lokale IP-Adresse sowie Windows-Version an den Remote Host
    - modifiziert die Hosts-Datei
    - deaktiviert den Windows Task Manager sowie den Windows Registry Editor
    - blendet die Icons auf dem Desktop aus


    Infektionsweg:
    Die Verteilung der Malware läuft laut Microsoft unter anderem über das BlackHole Exploit Kit, das den Rechner beim Besuch einer verseuchten Webseite zu einem BlackHole-Server umleitet und auf bekannte Sicherheitslücken in Java, Adobe Reader, Flash und Windows abklopft (Drive-By-Infektion). Hat das Exploit Kit ein Schlupfloch gefunden, infiziert es den Rechner mit der Ransomware.
    Die Verbreitung erfolgt selbstverständlich auch über Links in Spam-Mails, die direkt auf die BlackHole-Server verweisen.
    Im Zeitraum von Juli bis November 2011 hat Microsoft allein eine Variante des sogenannten BKA-Trojaners auf über 25.000 Rechnern deutscher Nutzer entdeckt. Wenn hier nur jeder zehnte User auf den Schwindel herein gefallen ist und die 100 Euro bezahlt hat, könnte die Beute der Cyberkriminellen immerhin 250.000 Euro betragen. Da Microsoft aber nicht der einzige AV-Hersteller auf dem deutschen Markt ist und es bei Nutzern von Avira, Kaspersky und Co. auch Opfer gibt, multiplizieren wir die vermeintliche Beute einfach nochmal mit dem Faktor 10 auf lukrative 2.500.000 Euro.


    Quelle: GEMA-Trojaner 2 (ActiveX32_64lo.exe) | Evild3ad




  2. The Following 16 Users Say Thank You to DMW007 For This Useful Post:

    1337 (07.08.2012), 4Tune (04.08.2012), BL4cK (16.02.2013), Dbzfreak1337 (06.08.2012), FuDe57 (16.02.2013), Gangstersheep (04.08.2012), Hydra (16.02.2013), iDave (04.08.2012), infected (06.08.2012), MaskuL1n (04.08.2012), perfect (04.08.2012), Pwned (06.08.2012), Roxithro (06.08.2012), ThunderStorm (02.05.2013), Valorax (04.08.2012), x BoooM x (04.08.2012)

  3. #2
    Avatar von rVs14
    Registriert seit
    18.11.2011
    Beiträge
    985
    Thanked 513 Times in 338 Posts

    Standard AW: [Warnung] kinox.to verteilt Java Drive-By

    Ich habs mal in meiner VM ausgeführt, bei mir wird kein Drive-By heruntergeladen bzw. ausgeführt.

  4. #3
    Avatar von iDave
    Registriert seit
    27.06.2012
    Beiträge
    256
    Thanked 38 Times in 33 Posts

    Standard AW: [Warnung] kinox.to verteilt Java Drive-By

    Danke. War heute Mittag noch drauf und glücklicherweise ist nichts passiert.
    Direkt mal geupdatet.

  5. #4
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard AW: [Warnung] kinox.to verteilt Java Drive-By

    Zitat Zitat von rVs14 Beitrag anzeigen
    Ich habs mal in meiner VM ausgeführt, bei mir wird kein Drive-By heruntergeladen bzw. ausgeführt.
    Die versuchte Anzeige wird wohl nicht jedes mal eingeblendet.
    Der Werbeanbieter hat wohl eine größere Anzahl an Kunden, von denen wahrscheinlich auch einige mehr wie eine Werbekampagne dort haben.
    Bei den Kunden wechselt natürlich die Werbung immer, so wird man nicht zwangsweise direkt versucht wenn zb 1 Kampagne von 100 den Drive-By enthält.

    Derjenige dem der PC gehört hat kinox.to auch schon vor dem Vorfall gelegentlich genutzt und wurde bisher noch nicht infiziert.

    Außerdem nutzt das Drive-By sehr wahrscheinlich eine bekannte Sicherheitslücke in Java.
    Daher sind nicht alle betroffen, sondern nur Nutzer, die ihr Java nicht auf dem aktuellsten Stand halten.


  6. #5
    Avatar von rVs14
    Registriert seit
    18.11.2011
    Beiträge
    985
    Thanked 513 Times in 338 Posts

    Standard AW: [Warnung] kinox.to verteilt Java Drive-By

    Zitat Zitat von DMW007 Beitrag anzeigen
    Außerdem nutzt das Drive-By sehr wahrscheinlich eine bekannte Sicherheitslücke in Java.
    Daher sind nicht alle betroffen, sondern nur Nutzer, die ihr Java nicht auf dem aktuellsten Stand halten.
    Uh stimmt, ich hab gar kein Java auf der VM installiert. Wird wahrscheinlich daran liegen, ich werds mal morgen mit ner alten Java Version ausprobieren, wollte schon immer mal den entfernen :p.

  7. #6
    Avatar von Roxithro
    Registriert seit
    19.11.2011
    Beiträge
    1.126
    Thanked 1.180 Times in 863 Posts

    Standard AW: [Warnung] kinox.to verteilt Java Drive-By Schadsoftware

    Das gleiche ist mir auf Watch movies online for free movie download at movie2k.to passiert, kann von dieser Seite ebenfalls nur abraten.

  8. #7

    Registriert seit
    29.07.2012
    Beiträge
    39
    Thanked 2 Times in 2 Posts

    Standard AW: [Warnung] kinox.to verteilt Java Drive-By

    2 fragen dazu wie bekommt man das ding wieder los sollte man es haben und 2 kommt der virus direkt wenn man nur die seiten beuscht oder erst, wenn man auf die werbung klickt ?? ach ja und wie weiß ich ob ich das ding nicht schon auf pc hab nur ohne das er bereits leuft ...

  9. #8

    Registriert seit
    19.11.2011
    Beiträge
    406
    Thanked 146 Times in 97 Posts

    Standard AW: [Warnung] kinox.to verteilt Java Drive-By Schadsoftware

    Im abgesicherten Modus ohne Netzwerktreibern starten und die Virensuche anschmeißen. Dann sollte man den "Virus" entfernen können, ohne formatieren zu müssen.

  10. #9
    Avatar von Manipulate
    Registriert seit
    04.12.2011
    Beiträge
    520
    Thanked 505 Times in 356 Posts

    Standard AW: [Warnung] kinox.to verteilt Java Drive-By

    Zitat Zitat von yamyam87 Beitrag anzeigen
    2 fragen dazu wie bekommt man das ding wieder los sollte man es haben und 2 kommt der virus direkt wenn man nur die seiten beuscht oder erst, wenn man auf die werbung klickt ?? ach ja und wie weiß ich ob ich das ding nicht schon auf pc hab nur ohne das er bereits leuft ...
    Ein Java Drive-By wird heruntergeladen wenn du auf der Seite bist, ohne die Werbung anzuklicken...
    Wenn du so ein Teil schon auf dein PC hättest, dann käm sowas wie auf dem Screen zusehn.

  11. #10

    Registriert seit
    20.12.2011
    Beiträge
    1.062
    Thanked 437 Times in 316 Posts

    Standard AW: [Warnung] kinox.to verteilt Java Drive-By Schadsoftware

    GVU Virus ist auch dabei

Seite 1 von 2 12 Letzte

Ähnliche Themen

  1. Antworten: 8
    Letzter Beitrag: 17.01.2013, 18:10
  2. Google warnt User vor Schadsoftware!
    Von Waterpolo im Forum IT & Technik News
    Antworten: 2
    Letzter Beitrag: 31.05.2012, 18:51
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.