Vorsicht: 20 Minuten unter Beschuss

Dieser Thread ist Teil einer Diskussion zu einem Artikel:  Zum News-Artikel gehen
ipool

ipool

Stammgast
Etwas mehr Info würde helfen:
- Welche OS sind gefährdet?
- Sind auch Besucher mit No Script betroffen?
- Alle Browser betroffen?
- Wie kann eine allfällige Infektion erkannt werden und wie ist sie zu beseitigen?
usw...

20Min schweigt und somit weiss so ziemlich niemand was zu machen ist.
 
Xpert

Xpert

Stammgast
...
Als Betreiber der grössten Newssites der Schweiz sind wir leider regelmässig Ziel von Angriffen. Die Server von Tamedia werden täglich angegriffen. Leider gelingt es einem Angreifer alle paar Monate, unsere Sicherheitssysteme zu durchbrechen», sagte Tamedia-Sprecher Christoph Zimmer der NZZ, «Melani hat uns heute über den jüngsten Angriff informiert. Wir arbeiten mit Hochdruck daran, das Problem zu beheben. Wichtig ist, dass der Angriff ausschliesslich Zugriffe über Desktop-Computer betrifft. Zugriffe über unsere Mobile-Apps für iPhone und Android oder über Tablets waren und sind zu keinem Zeitpunkt betroffen. Wir werden wieder informieren, sobald wir mehr wissen.» ...
Zum Vergrößern anklicken....


Quelle: http://www.nzz.ch/digital/newssite-gesperrt-mittels-20minch-malware-verbreitet-ld.12263
 
slup

slup

PCtipp-Moderation
Teammitglied
20 Minuten schreibt 'Ursache ist eine verseuchte Flash-Datei, die im Hintergrund ein kompromittiertes Java-Script ausführte.' EINE verseuchte Flash-Datei... Ich habe nirgends gefunden WELCHE Flash-Datei kompromittiert war. Ich wüsste dann immerhin, ob ich diese angeschaut habe. Oder hat jemand diese Info?
 
R

roeby84

Mitglied
E-Banking-Trojaner Gozi löschen

Hallo zusammen

Hatte gestern einen PC der betroffen war, Windows 10 Maschine mit Windows Defender. Die Benutzerin merkte es weill wenn sie auf szkb.ch wollte immer direkt zur Login Seite des Onlinebankings weitergeleitet wurde. Anhand des Zertifikats konnte ich feststellen dass es sich nicht um die Originale Seite der Bank handelte.

Betroffene Bankseiten:
Schwyzer Kantonalbank
Raiffeisen

Den Virus konnte ich löschen. Jedoch wurde die Einstellungen die der Virus änderte nicht zurückgesetzt.
Unter Systemsteuerung auf Internetoptionen gehen, dann auf Verbindungen und auf LAN-Einstellungen.
Beim Punkt: "Skript für automatische Konfiguration verwenden" war der Haken gesetzt und eine Internetadresse hinterlegt. Haken raus fertig. Siehe Bild Gozi

Skript Adresse war hhtps://iabni66w5xvwawbe[dot]onion[dot]to/ggIdoo2........
Siehe Bild Virus-Proxy
 

Anhänge

  • Gozi.JPG
    Gozi.JPG
    196,5 KB · Aufrufe: 19
  • Virus-Proxy.PNG
    Virus-Proxy.PNG
    62,2 KB · Aufrufe: 18
Zuletzt bearbeitet von einem Moderator:
P

PC-John

Stammgast
20min.ch hat es schon wieder erwischt!

slup schrieb:
20 Minuten schreibt 'Ursache ist eine verseuchte Flash-Datei, die im Hintergrund ein kompromittiertes Java-Script ausführte.' EINE verseuchte Flash-Datei... Ich habe nirgends gefunden WELCHE Flash-Datei kompromittiert war. Ich wüsste dann immerhin, ob ich diese angeschaut habe. Oder hat jemand diese Info?
Zum Vergrößern anklicken....

Es ist verdächtig ruhig um den Malware-Download von 20min.ch

Auch die NZZ 8.4.2016 sagt nichts Konkretes darüber, vor allem nicht, WIE sich dieser Download äussert.
http://www.nzz.ch/digital/newssite-gesperrt-mittels-20minch-malware-verbreitet-ld.12263

Ich bin regelmässig auf 20min.ch/newticker unterwegs, und habe Folgendes gesehen oder festgestellt:
Irgendwo wurde hier im Forum geschrieben (ca. per 8. 4.2016), dass diese Malware erst seit ein paar Tagen im Umlauf wäre.
Falsch: Ich habe diese schon Mitte März erstmals "gesehen"

Wie äussert sich diese nun?
Es kommt urplötzlich ein Download-Feld, wo da geschrieben steht:
Möchten Sie "T23350.js" von esn.dc.org-dot-com.com" öffnen oder speichern?

Nein natürlich NIE direkt öffnen, sondern gleich mal nur gespeichert an einem bestimmten Ort.
Dieses File, gemäss der Extension ein Java-Script, kann natürlich meine ganze Maschine umbiegen, aber erst wenn es installiert wurde.
Nur in einem ASCII-Editor mal anschauen ist noch ungefährlich.
Die Java-Script Sprache selbst kenne ich nicht, man kann ja nicht alles wissen.

Aufgrund der Zeitungsmeldungen der Konkurrenz mussten die Web-Admins von 20min.ch natürlich an die Arbeit.
Per 10. April meldeten diese dann: "Wir haben es gefunden".
Die plötzlichen Download-Anzeigen hörten denn auch sofort auf ...

Aber nur bis zum 14. April, dann wieder diese Download-Aufforderung.
Danach ein paar Tage Ruhe.
Und heute morgen schon wieder wird mir diesmal der T23799.js "angeboten"

Ich denke, dass nur der Filename ändert, der Inhalt dürfte derselbe sein.
Welcher Trojaner/Virus nun genau in diesem File steckt weiss ich nicht, ich möchte es auch nicht ausprobieren (müssen).

Auf jeden Fall haben die Leute bei 20min.ch dieses Problem bei Weitem NICHT gelöst.

PC-John
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben