Virus/malware seit 19.03.2014

[DarkSoul]

Hallo liebe Forums-Admins,

TREND MICRO OfficeScan meldet mir seit heute diesen Virus, wenn ich diese Seite mit dem IE8 besuche:

http://about-threats.trendmicro.com/us/malware/TROJ_IFRAME.CP

Bitte prüfen und entfernen, ich kann weder meinen Virenscanner, noch den Browser wechseln.

PS: Mit dem FireFox ist die Seite virenfrei, trotz JavaScript.

PPS: Da es sich um die Datei lg.gif handelt, könnte auch eine Fehlerkennung seitens Trend Micro der Fall sein.

 

[DarkSoul]

http://r.virscan.org/report/3852632bac60e91d56bf65d46f2351b5.html

Komisch, ob es ein Virus ist, oder nicht kann ich letztendlich nicht feststellen. Mein Firefox blockiert Werbung, daher wird es wohl nur Werbung sein, die als Virus erkannt wurde.

 

[Merthos]

Symantec Endpoint Protection mit IE 10 meldet auch was: [SID: 23331] Web Attack: Malicious Image Request 2

 

[jahlives]

Ist es nur die Startseite oder jede Seite? War vorhin im Büro auch im Forum mit Symantec Endpoint Protection, es wurde mir aber nichts gemeldet. Allerdings sehen wir als Mods bestimmte Werbung nicht. Habe mir gerade die Startseite als gast im Quellcode in ein File gehauen und dann an virscan.org zur Prüfung geschickt. Nur ein Scanner (VBA32) hat angeschlagen und das auch nur mit der heuristics paranoid Option. Der Scanner von TM hatte nichts zu beanstanden. Bei Virustotal meldet kein Scanner was
@Merthos
hast du allenfalls bei Symantec die Heuristik auf "sehr scharf" gestellt?

 

[DarkSoul]

War nicht nur die Startseite.

 

[jahlives]

Meldet denn dein TM den Treffer mit einer expliziten Signatur oder "nur" mit der Heuristik?
Kannst du mal folgendes testen: wenn der Scanner anschlägt wird dann immer der gleiche Werbebanner angezeigt? Zudem könnte es auch sein, dass das iframe erst lokal eingefügt wird. Solche Malware gibt es leider auch.
@Marc
kannst du dir mal deinen Apache anschauen? Nur um sicherzugehen, dass nicht dein Server so was mit sich rumschleppt: http://blog.unmaskparasites.com/2012/09/10/malicious-apache-module-injects-iframes/
Oder vielleicht mal die Werbung komplett deaktivieren und dann dem Topicstarter und Merthos melden, dass sie es dann mit ihren Scannern nochmals testen

Ich vergleich mal noch ob es einen Unterschied macht ob die Startseite als Mod angeschaut wird. Wenn ja dann ist es ziemlich sicher die Werbung

 

[jahlives]

Also als Mod die Startseite bei virscan.org und VBA32 schlägt auch nicht mehr an. Muss imho einer (oder alle) der Werbebanner sein. Hatte den Banner von redcoon als ich den Quelltext der Seite als Gast geholt habe

 

[DarkSoul]

Da ich nicht will, dass meine IT-Abteilung unnötig auf mich aufmerksam gemacht wird kann ich leider keine weiteren Tests beisteuern.

 

[night2day]

Da ich nicht will, dass meine IT-Abteilung unnötig auf mich aufmerksam gemacht wird kann ich leider keine weiteren Tests beisteuern.

dito

 

[Merthos]

Ist es nur die Startseite oder jede Seite?...
@Merthos
hast du allenfalls bei Symantec die Heuristik auf "sehr scharf" gestellt?

Es war jede Seite und keine Ahnung, ist auf Arbeit.

Zumindest aktuell kommt nix, aber auch keine Werbung.

 

[Frogman]

Bei mir wurde ausschließlich der Redcoon-Banner beanstandet und gefiltert - alle anderen Banner waren unauffällig.