Gosugamers und Viren

[taurum]

Bei mir gingen gerade die Viren-Alarmglocken auf GG los.

Evtl die nächsten Tage da etwas vorsichtiger sein ^^

 

[Exori]

Komischer Weise ist das atm bei wirklich jeder Seite,die mit BW zu tun hat so. ( Ausnahme Bw.de ) Aber trotzdem danke

 

[Shihatsu]

sagt mir mal bitte was genaueres dazu...
ach egal, ich start ne v m und guck selber - und das es uns nicht erwischt hat war glück

edit sagt: wenn das das ding ist das ich befürchte, wird euch "bisserl vorsichtiger sein" genau NICHTS nützen - mich hat das nämlich erwischt, und ich bin weitaus mehr als nur "ein bisserl vorsichtig".

 

[chinak]

bei mir ging mal gar nix los, bissel mehr input bitte damit ich weiß wieso ich mehr als nur ein bisserl vorsichtig sein muss

 

[Telmata]

was kann man dagegen tun?
war auf gg.net (nicht eingeloggt, nur auf der hauptseite + 1. news), virenprog meldete nix

wtf is los?^^

 

[Shihatsu]

vor nicht allzulanger zeit wurde das gwah (guildwarsaktionshaus) und indiablo infiziert durch eine kombination aus wurm und trojaner - der wurm heisst gumblar, der trojaner illredir.b. welcher von den beiden da wen huckepack mitbringt ist mir nicht klar, fakt ist nur: ich habe hier 2 xp-rechner stehen, beide mit den selben massiven schutzmassnahmen (antivirus, abgeschaltete windows services, aktuelles windows, aktuelle browser, router, keine adminrechte, etc pp - wirklich alles an sicherheitsmassnahmen ergriffen die gehen) - und einen der beidenr echner hats erwischt. daraus folgt der schluss: beide sind nicht sicher. daraus widerum folgt der schluss, das ein noch so sicheres xp infiziert wird. ich hab jetzt windows 7,. an dem beisst sich sowohl gumblar als auch illredir.b die zähne aus.

p.s.: WENN es das ist, hilft atm nur die pro version von avast - und die kann auch nur illredir loswerden, nicht das ganze zeug was der mitbringt. WENN es das ist. also bitte keine panikmache...

p.p.s.: kein flash plugin, kein adobe reader plugin, keine javascript und die beiden laufen vermutlich ins leere.

 

[Telmata]

wie kann ich am besten feststellen ob ich infiziert wurde oder nicht?
weil ich hab bisher nichts gemerkt

 

[esG.n1lyn]

war heute morgen auf gg.net und hab au nix gemerkt..

 

[Horst Schlemmer]

Avast Home findet zumindestens den von Dave genannten Illredir.B, wenn man den gefunden hat darf man dann schonmal davon ausgehen, dass man auch noch nen haufen anderen scheiß hat.

Achja: Wer irgendwelche FTP Zugänge zu irgendeiner Webseite hat, sollte die nichtmehr von dem System aus benutzen, die Zugangsdaten werden genutzt um die Seiten zu infizieren.

 

[Shihatsu]

ich hab auch nichts lokal gemerkt, das war ja das fiese. es gibt wie gesagt die möglichkeit, avast in der pro version zu nutzen, ansonsten halt auch koppix oder ähnliches. jedoch gilt: gumblar aufspüren ist scho schwer, illredir.b aufspüren garnicht so - leider ist es dann zu spät. erkannt wird das ding anhand seiner neuheit schwer, und wenn dann nur als kryptischer "agent.js" - kein eigener name. nagelneu, eine verteilgeschwindigkeit wie conficker, schadroutinen wie nichts gutes am start, zum kotzen. bisher bekannte schadroutinen sind: metafile-infection (o, ein wurm in meinen mp3s, das ist aber schön), index.*-infection (naja, die methode der wahl um sich zu verteilen), mail-spam-engine (und spätestens da wirds richtig eklig - das ding gibt sich nichtmal die mühe, vorsichtig oder unauffällig zu agieren - das ding mekrt ihr: schneckelahmer pc und unangenehmer anruf von der telekom), key logger, root kit - halt das ganze programm. und all diese sachen funktionieren unabhängig voneinander, und offenbar je nach schutzgrad des befallenen systems. bei mir konnte sich nichts einnisten, aktiv waren trotzdem ein paar der schadroutinen. erkannt habe ich das an selbständig neustartenden prozessen, die ich gekillt hab - aber wer kennt schon alle seine prozesse?

kurze antwort: sicher? garnicht.

edit: o, hai daniel

 

[Flopgun]

Ich kenn mich mit Viren nicht so aus, heißt das ich müsste nur einmal kurz auf die Seite von gg gehen und ich hätte das übel drauf?

 

[Telmata]

da ich nichts bemerke bei meinem PC geh ich mal davon aus das ich nix abbekommen habe.
merkwürdige/neue prozesse hab ich auch nicht

 

[Ancient]

Müsste man die Prozesse nicht einfach mit Hijackthis zumindest finden können?

 

[General Mengsk]

Ich kenn mich mit Viren nicht so aus, heißt das ich müsste nur einmal kurz auf die Seite von gg gehen und ich hätte das übel drauf?

Es kommt ein wenig auf dein OS und deine Browserkonfig an, aber im "Normalfall" lautet die bittere Antwort leider: JA

 

[Ancient]

Und da sich die Schadsoftware auch in anderen Dateiformaten als den üblichen (z.B. mp3) einnistet kann man getrost alle seine Daten wegschmeißen anstatt nur die Windowspartition zu formatieren, nehme ich an?

 

[Shihatsu]

nein. in dem fall der meta-daten-infektion reicht eigentlich das vorgehen, diese daten nicht mehr auszuführen und mit nem aktuellen virenscanner zu checken. ich bin auch nur auf einen einzigen fall von meta-daten-befall gestossen bei meiner recherche, und das muss nicht zwingend durch gumbla/illredir entstanden sein - ich wollte es der vollständigkeit halber nur erwähnen.
@telmata: nix finden und nix bemerken != nix haben. aktuelles knopicillin drüberjagen sollte sichere infos geben - nicht vergessen, das ding bringt ein rootkit mit. was macht ein rootkit als erstes nach dem einnisten? alle ihm als schützenswert bekannten prozesse vor dem betriebssystem verstecken - da kann der virenscann der unter diesem betriebssystem läuft garnichts mher machen. der taskmanager kann nichts mehr erkennen. die systemsteuerung zeigt nix an, etc pp

edit sagt: http://diablo3.ingame.de/forum/announcement.php?f=53
das mal lesen, den links folgen und so.
und noch was: noch ist in keinster weise klar, das gg das dingen abbekommen hat...

 

[Ancient]

nein. in dem fall der meta-daten-infektion reicht eigentlich das vorgehen, diese daten nicht mehr auszuführen und mit nem aktuellen virenscanner zu versehen.

Sorry, den Satz verstehe ich nicht.
Wie "versehe" ich meine Daten mit einem Virenscanner und was bringen sie mir, wenn ich sie nicht mehr ausführen darf?

 

[Verumas]

Reicht NoScript für FF als Schutz? Ich war gestern auf TL.net...

 

[Shihatsu]

Sorry, den Satz verstehe ich nicht.
Wie "versehe" ich meine Daten mit einem Virenscanner und was bringen sie mir, wenn ich sie nicht mehr ausführen darf?

öhm, nicht hier tippen, da lesen, dann hier weitertippen, dave. böses dave. sollte natürlich "checken" heissen, ist editiert.

Reicht NoScript für FF als Schutz? Ich war gestern auf TL.net...

was hat das nu mit tl.net zu tun? und noscript reicht genau dann nicht, wenn du der infizierten seite javascript oder flash oder reader erlaubst...

 

[Verumas]

Komischer Weise ist das atm bei wirklich jeder Seite,die mit BW zu tun hat so. ( Ausnahme Bw.de ) Aber trotzdem danke

Ich ging jetzt davon aus, dass damit gemeint ist dass TL.net auch betroffen ist

Edit: TL.net war auf der "erlaubten" Liste. Windows7, frisch aufgesetzt, Avira AntiVir Personal (auf dem neuesten Stand) findet nichts. Hab ich Glück gehabt?

 

[Shihatsu]

windows7 ist nicht in den mir bekannten angriffsvektoren von gumblar und illredir enthalten - also lautet die antwort "ich hoffe ja" - eine ähnliche konfig fahre ich nämnlich jetzt auch (nuja, kein js anymore)

 

[Verumas]

Also reicht es wenn ich im Browser JavaScript ausschalte, statt meine ganze "erlaubte" Liste zu löschen?

 

[Shihatsu]

reicht wofür? was willst du jetzt hören? das du dann auf der sicheren seite bist? die antwort ist definitiv nein - lies dir nochmal meinen ersten post genau durch, schau dir an was ich aufgefahren hatte, und wieviel es mir genutzt hat

 

[Verumas]

p.p.s.: kein flash plugin, kein adobe reader plugin, keine javascript und die beiden laufen btw ins leere.

Nur rein verständnismäßig: Die infizierte Webseite muss doch irgendwie den Virus auf meine Platte bekommen, wie geht das noch außer über JS?

 

[waschito]

Also sehe ich das richtig dass ich mir als linux nutzer mal wieder keine sorgen machen muss?

 

[Shihatsu]

DAS wüsse ich auch gerne. ich verstehe nachwievor nicht wie mich das ding erwischt hat. ich raffs einfach nicht. meine vermutung ist ein zerodayexploit, der noch garnicht bekannt ist, aber das ist nur ne vermutung. ich kanns dir nicht sagen. ich hab den text da oben aber mal "aufgeweicht"

Also sehe ich das richtig dass ich mir als linux nutzer mal wieder keine sorgen machen muss?

doc occ, wenn du dir sorgen machen willst, steig auf windows um, aka: natürlich. ich kenn kein virus der in nicht-labor-bedingungen ein linux kernel infizieren bzw verarschen kann...

 

[IsCream]

richtig waschito.

 

[Telmata]

@telmata: nix finden und nix bemerken != nix haben. aktuelles knopicillin drüberjagen sollte sichere infos geben - nicht vergessen, das ding bringt ein rootkit mit. was macht ein rootkit als erstes nach dem einnisten? alle ihm als schützenswert bekannten prozesse vor dem betriebssystem verstecken - da kann der virenscann der unter diesem betriebssystem läuft garnichts mher machen. der taskmanager kann nichts mehr erkennen. die systemsteuerung zeigt nix an, etc pp

edit sagt: http://diablo3.ingame.de/forum/announcement.php?f=53
das mal lesen, den links folgen und so.
und noch was: noch ist in keinster weise klar, das gg das dingen abbekommen hat...

das man rootkits nicht sieht ist mir klar, hab grad auf ind3 den thread gelesen, nichts trifft bei mir zu
werd aber trotzdem mal knopicillin drüber jagen, danke an dieser stelle

 

[aFrI]

bisschen ot: knoppicilin heisst nun Desinfec't und ist in der aktuellen c't enthalten.

Hier nochmal fuer DAUs: http://www.heise.de/ct/projekte/Mit-Desinfec-t-auf-Virenjagd-886609.html

 

[Shihatsu]

ich so: frau, wenn du montag einkaufen gehst bring auf jeden fall ne ct mit!
danke für den hinweis

 

[n.die.Royal]

Ja geil der Thread im Forum kam bisschen spät.

Mein PC zerlegt es grade so richtig, Firefox funktioniert total verzögert und langsam. Antivir reagiert nicht mehr, auch wenn ich es versuche zu öffnen... mal schaun wann mein PC gaarnicht mehr angehen will. scheiß XP...muss ich wohl neu installieren -.-

 

[IsCream]

ich so: frau, wenn du montag einkaufen gehst bring auf jeden fall ne ct mit!
danke für den hinweis

So wie es aussieht, sollte man warten und nicht die c't kaufen!

Im Forum ist sehr viel negatives zu lesen. Einige User sagen: Nehmt lieber Knoppicillin oder fragen nach Alternativen!

 

[aFrI]

Hm hatte letzte Woche noch keine Zeit die zu testen, geschweige denn mir Reviews dazu durchzulesen, lag nur im Buero rum

 

[Toadesstern]

gosu timing, vor nem monat auf linux umgestiegen und hab nen windows parallel nurnoch für die games die unter linux nicht laufen.
EAT THIS MOTHAFUCKA VIRUS

 

[esG.n1lyn]

bin auf vista und hab bis jetz noch keine "einschränkungen" bemerkt. mal hoffen, dass es mich nicht getroffen hat

 

[doveR]

mac osx > viren kk ;o

 

[Telmata]

gibts inzwischen ne entwarnung oder wie schauts aus?

 

[byFd]

war grad eben mal auf gg.net

da sprang mir keine meldung an (wenn es denn überhaupt erkannt werden kann)

naja, es gibt dort nen forum topic, wo jemand sagt das sie viren meldungen bei dem thread "cool pix" (oder so) bekommen, da wollte ich dann aber nicht draufklicken :/

 

[Toadesstern]

war grad eben mal auf gg.net

da sprang mir keine meldung an (wenn es denn überhaupt erkannt werden kann)

naja, es gibt dort nen forum topic, wo jemand sagt das sie viren meldungen bei dem thread "cool pix" (oder so) bekommen, da wollte ich dann aber nicht draufklicken :/

wenns das ist was dave vermutet hast du nun den virus

 

[Telmata]

und genau aus dem grund meide ich gg.net erstmal^^
auch wenn ich am tag der warnung kurz drauf war - keinerlei funde/anzeichen und das soll auch so bleiben.
extra n kleines prog geschrieben das checkt ob die dateien exestieren die auf ind3 gepostet wurden