Trojaner im Forum

ballong · Beitrag von **ballong** » 24.03.2007 19:04

Hallo,

einige unserer User teilen uns mit, dass ihre Virenscanner beim Aufrufen unserer Seite eine Trojanermeldung anzeigen, die in etwa so ausschaut:

gefunden: trojanisches Programm Trojan-Downloader.JS.Psyme.cz URL: http://202.157.177.19/x/in.php?adv=2//Crypt.DCScript

Ich habe bereits unseren Provider angeschrieben, der mir folgendes zurück geschrieben hat:

Unter der Ziel-URL befindet sich ein Javascript, das eine alte IE-Schwachstelle ausnutzt. Ich konnte jedoch weder bei der Suche nach Javascript noch unter dem Namen bzw. der IP etwas auf Ihrem Webspace finden. Den Quelltext der Startseite hab ich mir auch einmal näher angesehen und ebenfalls keine Verlinkung/Einbindung irgendwelchen Schadcodes finden können. Eventuell sind die Meldungen Ihrer User auch eher Falschmeldungen anderer von Ihnen eingesetzten Javascripts. Mehr konnte ich leider nicht herausfinden.

Jetzt steh ich wie der Ochs vorm Berg und weiß weder, wo das Script sitzt, noch wie ich es herausfinde. Könnt Ihr mir helfen?

Hier unser URL: http://www.fighterfitnessforum.com

Danke!

ballong · Beitrag von **ballong** » 24.03.2007 20:32

Soeben wurde uns eine weitere Trojanermeldung gemeldet:

Trojan horse Downloader Generic.4.Q on C:\U.exe

Tobi91 · Beitrag von **Tobi91** » 24.03.2007 23:29

Hallo,

Link zum Forum wäre evl. Hilfreich!

Dankö.

Gruß,
Tobias

larsneo · Beitrag von **larsneo** » 24.03.2007 23:34

bzw. die genaue url bei der das problem auftritt.
...und hoffentlich ist das "phpBB 2.0.11 CHANGELOG" nur nie aktualisiert worden

ballong · Beitrag von **ballong** » 25.03.2007 08:52

Hallo,

ich hatte die Seite im oberen Teil der Nachricht verlinkt. Hier nochmal offensichtlich:

http://www.fighterfitnessforum.com

Gruß
andreas

Fabi168 · Beitrag von **Fabi168** » 25.03.2007 20:53

Ich surfe mit Opera und bekomme keine Trojanermeldung.

ballong · Beitrag von **ballong** » 25.03.2007 22:52

Wo könnte denn praktisch so ein Trojaner sitzen, wo könnte er eingebettet sein? Wie komme ich da dran? Welche Mittel gibt es um ihn zu finden? Ich bin wirklich überfragt.

Danke für Eure Hilfe!

Beitrag von **redbull254** » 26.03.2007 01:36

Hallo,zusammen

Die Meldung stimmt, es wird auch von Kaspersky ein Trojaner gemeldet und desinfiziert.

Code: Alles auswählen

gefunden: trojanisches Programm Trojan-Downloader.JS.Psyme.cz	URL: http://202.157.177.19/x/in.php?adv=2//Crypt.DCScript//Crypt.DCScript

Eine Info dazu.

http://www.pcwelt.de/index.cfm?pid=20&pk=72757

ballong · Beitrag von **ballong** » 26.03.2007 07:13

Hallo,

vielen Dank für die Info. Bedeutet das, dass das Script in der index.php liegt, oder kann es auch woanders sein?

Beitrag von **redbull254** » 26.03.2007 08:01

Hallo,ballong

lasse das Forum doch mal bei diversen Herstellern von Antivirenprogrammen

online scannen. Vielleicht bekommst Du so einen Hinweis, wo es her kommt.

Ich gehe auch noch mal bei Dir auf die Seite, sollte ich noch einen Hinweis finden, editiere ich diesen Beitrag entsprechend.

EDIT:

Wenn ich das aufrufe, kommt die Trojanermeldung:202.157.177.19/x/in.php

Code: Alles auswählen

route: 202.157.176.0/23
descr: Asianfrontiers Network Services (Malaysia) Sdn Bhd
A Subsidiary of Webvisions Pte Ltd (Singapore)
Kuala Lumpur, Malaysia
origin: AS17464
notify: indra@webvisions.com
mnt-by: MAINT-WEBVISIONS
changed: indra@webvisions.com 20030620
source: RADB