Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Kopiert aus einem andern Forum: Pharming........

Kolti / 2 Antworten / Baumansicht Nickles

Spoof ist veraltet - nun kommt Pharming -externer DNS-Server-
==============================================================
Zuerst für die die mit dem Begriff Pharming nichts anfangen können ein paar Links mit Erklärungen zum Problem:

http://de.wikipedia.org/wiki/Pharming

http://www.panda-software.de/HTML_2/News/Sonstige/2005-03-22-Pharming.htm


Da surfe ich so gemütlich durch Internet, mit einem Browser der sehr restriktiv eingestellt ist, fast alles deaktiviert oder nur nach Aufforderung.
Hier mal einen Link angeklickt, dort mal geklickt - und dann ... schlägt mein Virenscanner an, Trojan.ByteVerify, o.k. dafür ist ein Virenscanner ja da.
Ein paar Sekunden später fragt mich meine Firewall ob das Programm io#00000000.exe im Verzeichnis C:\\ auf das Internet Zugreifen darf

Natürlich nicht - sperren.
Den Task-Manager aufgerufen - Meldung: "Der System-Administrator hat diese Funktion für User gespert".
Das wüßte ich aber, ICH bin der System-Administrator und ich habe nichts gespert !!!

Lange Rede kurzer Sinn - irgendwie hat die Websseite es geschafft, ohne das ich explizit etwas angeklickt habe, mir nur durch aufrufen der Seite den hier unterzujubeln:

http://vil.mcafeesecurity.com/vil/content/v_131693.htm

http://www.sophos.com/virusinfo/analyses/trojruindla.html

Dieser Trojaner verändert die Registry dahingehend das als DNS-Server ein manipolierter Server im Internet angesprochen wird - diese Manipolation nennt man Pharming.
Hier bei mir war es der Server http://69.50.176.58:DNS

Jeder Aufruf einer URL wäre über diesen Server als DNS-Server gegangen,
hätte ich z.B. http://www.ebay.de eingegeben hätte dieser Server mich ohne Probleme weitergeleitet zu http://80.237.243.173/
oder zu einem gefälschten Server auf dem eine Ebay-Einloggseite hätte sein können.

Für interessierte:
Dagegen gibt es kein Schutz, außer einen Virenscanner, eine Firewall und ein immer auf dem aktuellen Stand gehaltenes Betriebssytem und hoffen ...


Wenn die Karpatenhamster oder Uralies diese Technik beherrschen wird es lustig, dann bekommt man schnell raus wo die überall die Finger drin haben


Und bevor Fragen kommen:
Ja, mein PC ist wieder sauber, 4 Stunden incl. Scannen des ganzen PC und manuellem Eingriff in der Registry um die letzten Reste zu entfernen.

bei Antwort benachrichtigen
Tilo Nachdenklich Kolti „Kopiert aus einem andern Forum: Pharming........“
Optionen

Der sichere PC hat keinen Internetanschluss!! :-(

Kann mich noch dunkel dran erinnern, dass ich hier mal auf Nickles ziemlich runtergeputzt wurde, als ich berichtete, dass ich auf einem sicher eingestelltem PC mit aktuellem Virenscanner und Firewall durch bloses Anklicken einen Trojaner bekam, mit Keylogger und allem Drum und Dran. Seit dem lasse ich keinen Patch-Day mehr verstreichen...und so ist es bis jetzt gut gegangen...man sieht weiter. Der Virenscanner hatte Alarm gegeben und Reparatur vermeldet. Naja auf Reparaturmeldungen verlasse ich mich nicht, zum Glück!

4 Stunden ist heftig, ich spiele ja das Image-Backup der C-Partition ein, geht schneller. Aber vorher mache ich auch ein bischen auf manuelle Reparatur, man weiß ja nicht was auf den Datenpartitionen abgelegt wurde. Also googeln nach dem Trojaner-Namen bzw. den von Norton gemeldeten Schaddateien. Man kriegt schnell mehrere DLLs und die sucht man dann auf allen Partitionen, auch als Namen in den Dateien und natürlich in der Registry. 2 Stunden waren das glaube ich damals, bis ich dann schließlich das Backup eingespielt habe. Ich habe auch schon mal in einem Fall was auf der E-Partition gefunden.

bei Antwort benachrichtigen
ThomasS Kolti „Kopiert aus einem andern Forum: Pharming........“
Optionen

"Ein paar Sekunden später fragt mich meine Firewallbild ob das Programm io#00000000.exe im Verzeichnis C:\ auf das Internet Zugreifen darf"

Selbst schuld, geh' halt einfach nicht mit "administrativen Rechten" zum "so gemütlich surfen durchs Internet". Dann kann sowas nicht passieren! Dafür gibt's "Benutzerkonten mit eingeschränkten Rechten".

Grüsse, ThomasS

bei Antwort benachrichtigen