Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Virenwarnung: Haspa-Seite wird umgeleitet?!

winnigorny1 / 5 Antworten / Baumansicht Nickles

Hi,

da lacht das Herz. Bisher kam immer, wenn ich in die Browser-Leiste die Adresse: www.haspa.de eingab, die Seite der Hamburger Sparkasse.

Der Firefox ergänzte die Adresse automatisch mit: https://haspa.de.

Heute: Ich mach's wie immer und ich krieg die rote Warnmeldung von G-Data-Internetsecurity: Webseite gesperrt wegen Malware. - Ich guck in die Adressleiste vom Browser und da steht tatsächlich nicht https://haspa.de, sondern http://haspa.de!

Die Meldung vom AntiVirenKit lautet:

Virus: VBS:Malware-gen
Virus beim Laden von Web-Inhalten gefunden. Adresse: haspa.de

Tja, ist jetzt die haspa-Seite gehackt, oder wie kommt es zu dieser Umleitung? - Da ist offensichtlich jemand ganz Raffiniertes am Werk!

Und: Nein, habe nie ne Pfishing-Mail geöffnet, da warnt mich der Thunderbird vor! - Brain.exe ist immer dabei! - Die Registry wird überwacht und Änderungen kann ich jederzeit von Hand blocken (AdWatch von der Pro-Version von AdAware).

Ich gehe jedenfalls davon aus, dass ich keine Malware auf dem Rechner habe. Ich habe nämlich probehalber ein Image von voriger Woche wieder hergestellt ist, als das noch nicht passierte. - Damit passiert jetzt aber dasselbe!!

Es ist also angesagt, bei Seitenaufruf die komplette Adresse einzugeben: https://www.haspa.de!!

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
xafford winnigorny1 „Virenwarnung: Haspa-Seite wird umgeleitet?!“
Optionen
Der Firefox ergänzte die Adresse automatisch mit: https://haspa.de.

Wohl kaum, Du wirst einen Redirect bekommen, entweder über eine Header-Direktive des HTTP-Protokolles, über einen META-Refresh oder über ein Javascript.

Tja, ist jetzt die haspa-Seite gehackt, oder wie kommt es zu dieser Umleitung?

Denkfehler, es kommt eben keine Umleitung, da diese geblockt wurde.

Es ist also angesagt, bei Seitenaufruf die komplette Adresse einzugeben: https://www.haspa.de!!

Da wäre ich aber vorsichtig. HTTPS ist nur ein Protokoll, keine andere URI. Den Host löst die URI auf, also haspa.de, nicht das Protokoll. Bei einem normalen Webserver wäre es so, dass https://haspa.de vom gleichen Server bedient würde wie http://haspa.de nur im einen Fall von Port 80, im anderen Fall verschlüsselt von Port 443.

Allerdings kommt bei haspa.de eine Sache hinzu. Die URI löst zu folgendem Hostnamen auf:

web-proxy.haspa.de

Das weist darauf hin, dass hier ein Proxy für einen Lastenausgleich zum Einsatz kommt, also hinter diesem Proxy verschiedene Server stehen, die die Anfrage bedienen. Da aber laut deiner Aussage ein Aufruf von http://haspa.de" target="_blank" rel="nofollow">http://haspa.de" target="_blank" rel="nofollow">http://haspa.de" target="_blank" rel="nofollow">http://haspa.de automatisch zu einer Umleitung führt und es keinen Sinn machen würde einen anderen Server unter http://haspa.de" target="_blank" rel="nofollow">http://haspa.de" target="_blank" rel="nofollow">http://haspa.de" target="_blank" rel="nofollow">http://haspa.de zu betreiben, wenn er sowieso keine Anfragen bedient wird sehr wahrscheinlich https://haspa.de und http://haspa.de" target="_blank" rel="nofollow">http://haspa.de" target="_blank" rel="nofollow">http://haspa.de" target="_blank" rel="nofollow">http://haspa.de auf einen Host verweisen, oder eben auf mehrere in einem Cluster.

Es kann allerdings auch sein, dass nicht der wirklich Webserver (Host) die Infektion ausliefert, sondern der Proxy selbst. Auf jeden Fall solltest Du dich nicht sicher fühlen, nur weil Du direkt https://haspa.de aufrufst, denn wie gesagt ist die Wahrscheinlichkeit groß, dass diese Anfrage ebenfalls von einem komprimitierten System bedient wird.

Eine weitere Möglichkeit wäre aber auch, dass die haspa-Server überhaupt nicht infiziert sind, sondern Du auf einem komplett anderen Server landest. Dazu müsstest Du einmal die Namensauflösung kontrollieren. Eine Eingabe von "nslookup haspa.de" auf der Eingabeaufforderung sollte Dir folgende IP zurück liefern:

213.61.98.47

Tut es das nicht, so stimmt etwas mit deinem (deinen) DNS-Servern nicht, oder mit der lokalen Namensauflösung.
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Gerd6 winnigorny1 „Virenwarnung: Haspa-Seite wird umgeleitet?!“
Optionen

Uiuiui,

mag Zufall sein, aber hatte heute morgen ebenfalls eine Virenwarnung bzgl. malware von Avast bei Zugriff auf die Webseite meiner onlinebank Sparda-West.

Wollte dann mal Ad-aware drüberlaufen lassen und das startete nicht mit dem Hinweis : scanner is busy, hä?

Image zurückgespielt von vorgestern und den Cache vom FF gelöscht und Ruhe ist.

Mal schauen, was da los ist bzw. noch kommt.

Nachtrag:
Nachdem die Warnung bei erneutem Zugriff wieder kam, habe ich mal abgewartet. Soeben kam ein update von Avast. Seitdem keine Warnung mehr. Scan mit Avast, Ad-aware und icesword alle ohne Ergebnis. Da war evtl. was mit einer signatur nicht okay?

hth...Gerd


Der PC-Minister warnt: OC schädigt Rechner und Herz und kann zum vorzeitigen Exitus führen.
bei Antwort benachrichtigen
charlie62 winnigorny1 „Virenwarnung: Haspa-Seite wird umgeleitet?!“
Optionen

Wieder einmal ein Schnellschuss des TE:

http://www.website-spy.de/80/avast-erkennt-den-etracker-code-als-vbsmalware-gen/

Wie damals:

http://www.nickles.de/static_cache/538217963.html

Methode Schäuble: Panik schüren statt informieren

Der erste, der ein Stück Land eingezäunt hatte und es sich einfallen ließ zu sagen: -Das ist mein!- und der Leute fand, die einfältig genug waren, ihm zu glauben, war der wahre Gründer der bürgerlichen Gesellschaft. Wie viele Verbrechen, Kriege, Morde, wie viel Not und Elend und wie viele Schrecken hätte derjenige dem Menschengeschlecht erspart, der die Pfähle herausgerissen oder den Graben zugeschüttet und seinen Mitmenschen zugerufen hätte: -Hütet euch, auf diesen Betrüger zu hören; ihr seid verloren, wenn ihr vergesst, dass die Früchte allen gehören und die Erde niemandem.- (Jean-Jacques Rousseau)
bei Antwort benachrichtigen
winnigorny1 Nachtrag zu: „Virenwarnung: Haspa-Seite wird umgeleitet?!“
Optionen

Tja, vielen Dank für eure Postings. Das Problem hat sich erledigt. Ist definitiv ein Fehlalarm gewesen!

Bestätigt von G-Data und der Haspa, die auf meine Warnung hin die eigenen Server überprüfen ließ.

Nach einem Viren-Update hat sich das auch bei mir erledigt; die Seite wird anstandlos geladen!

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Olaf19 winnigorny1 „Hat sich erledigt!“
Optionen

...aber ich habe ein paar Sachen ausprobiert, ebenfalls mit dem Firefox:

- haspa.de => http://haspa.de => führt zur Startseite der HaSpa,
- www.haspa.de => http://www.haspa.de => dito,
- https://haspa.de => führt zur Fehlermeldung haspa.de verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für www.haspa.de (Fehlercode: ssl_error_bad_cert_domain)
- https://www.haspa.de => führt zu dieser Seite hier.

Also, fischig wirkt auf mich nur Variante Nr. 3 - was wahrscheinlich aber den harmlosen Grund hat, dass Variante Nr. 3 gar nicht angeboten wird. Wenn ich dem Firefox sage, dass er für dieses fehlende Zertifikat dauerhaft eine Ausnahmeregelung zulassen soll, lande ich auf der selben Seite wie bei Variante 4. Scheint also harmlos zu sein - ansonsten hatte xafford ja schon Entwarnung gegeben.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen