Vorsicht bitte, wenn jemand versucht, auf meineschufa.de zu gehen. Tippt er ein S zu viel - also meineSschufa.de, landet er auf einer völlig anderen Seite, die im Firefoxmeldungs-Stil behauptet, ein Plugin müsse aktualisiert werden. Firefox-untypisch verhält sich der Button wie ein Link, eine Hand wird beim Selektieren sichtbar, will auf eine download.php führen und beinhaltet auch noch einen Rechtschreibfehler: Downloaden. Angeblich wird ein xvid-Codec für meineschufa benötigt. Das ist natürlich völliger Blödsinn.
Also bitte Vorsicht! Am besten sofort den AV aktualisieren, falls noch nicht geschehen und wenn möglich auch Freunde/Bekannte weitersagen, die alles glauben und auf alles klicken, was ihnen im Internet erzählt wird.
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Naja, das wäre typischer Dummenfang, wie er millionenfach stattfindet. Allerdings kommt bei mir nichts dergleichen, sondern nur das hier:
Benutzt du einen anderen Browser als Firefox?
Ich bekomme folgendes:
danach Weiterleitung auf http://error5839.com/de/_ff/1/
Interessant ist auch der Quellcode:
var redirs = {
firefox: '_ff/1',
ie: '_ie/1',
chrome: '_gc/1',
safari: '_gc/1',
opera: '_gc/1',
def: '_gc/1'
}
sowie die verschiedenen Seiten unter http://error5839.com/de/_ie und ../_gc
Benutzt du einen anderen Browser als Firefox?
Seamonkey und da habe ich Redirects verboten.
Übrigens wurde da evtl. gestern gerade gebastelt, denn heute sehe ich den Weiterleitungshinweis statt des leeren Designs - freilich ohne Folgen.
Im Code findet sich auch ein Verweis auf devel.parkingcrew.net und bademoden247.de. Lustig. Beide gehören einer "Internet GmbH" aus München.
Ich habe gerade mit dem wahrscheinlichen Hoster Keyweb gechattet. Lapidare Antwort: Bitte an die abuse-Abteilung senden.
Nach meiner Frage, ob Keyweb etwas mit AAA Hosting zu tun habe, meine die Moderatorin nur: "Kann ich nicht sagen, Datenschutz". Na klar, muss ja auch so geheim bleiben so eine Geschäftsbeziehung. Vor allem wenn auf http://dazzlepod.com/ip/?ip_address=217.114.219.205 eine Verbindung erkennbar ist.
Gut, dass ich den Chatlog fotografiert habe. Denn bekommt die Abuse-Abteilung gleich mitgeliefert.
Na da wirst du in einem hübschen Ausredengeflecht enden, wenn du das verfolgst. Ich seh grad, dass auch dntx.com, ein weiteres Weiterleitungsziel, besagter Münchner Firma gehört.
Einfacher wäre es wohl, die Schufa zu informieren.
Ich habe gerade ne nette, seitenlange eMail an abuse@keyweb.de geschickt; als CC dann noch an vertrieb@aaahosting.de, info@keyweb.de, info@aaahosting.de, it-security@schufa.de, kontakt@schufa.de, info@vzbv.de, bsi@bsi.bund.de. Die werden sich sicher über Post freuen, vor allem, wenn der vermeintliche Hoster (Keyweb/AAA-hosting) auch gleich sieht, dass per CC ebenfalls gleich SCHUFA, vzbv und das BSI informiert wurden - auch wenn das nicht viel bringen sollte.
Ich habe gerade ne nette, seitenlange eMail an abuse@keyweb.de geschickt
Oh, ein Gutmensch! Naja...ich hab sowas auch schon gemacht, allerdings nur, wenn zumindest nachweislich Malware verbreitet wurde. Aber dir ist schon klar, dass das ein Tropfen auf die Sonne ist, oder?
Aber dir ist schon klar, dass das ein Tropfen auf die Sonne ist, oder?
Die werden sich sicher über Post freuen, [...] - auch wenn das nicht viel bringen sollte.
Natürlich weiß ich, dass es kaum was bringt. Aber ich wollte nichts unversucht lassen ;)
Natürlich weiß ich, dass es kaum was bringt.
Es ist ja nicht nur so, dass es in diesem konkreten Fall kaum was bewirken wird, sondern dass es Millionen anderer Fälle gibt.
Eine Kleinigkeit hat es jetzt zumindest bewirkt. error5839.com scheint nun auf 127.0.0.1 umzuleiten, die Pluginseite wird nicht mehr angezeigt. Stattdessen harmlose Werbung oder eine Flirtseite. Da müsste aber jeder vermeintliche SCHUFA-Besucher daraufkommen, dass er sich vertippt hat.
Ich hoffe, dass dieser Zustand bleibt. Im Malwareordner, wo die Dateien abgelegt wurden, befinden sich nun jeweils zwei Dateien des vermeintlichen Plugins, die neue mit dem Suffix aw_. Hoffentlich verlagert sich das Problem nicht.
Dasselbe Design hatte damals eine Seite der NoName-Crew auf dem die gelakten Polizeidaten veröffentlicht werden sollten. Leider ist x-craft.de nicht mehr erreichtbar, denn dort war es.
Leider habe ich nur noch dieses kleine Vorschaubild.
Dasselbe Design hatte damals eine Seite der NoName-Crew
Ich hab das auch schon anderswo gesehen. Grad kürzlich erst, weiß aber nicht mehr, wo. Vermutlich aus irgend einem Hohmpeitsch-Baukasten.