Virus?

[floES]

Mein Virenscanner schlägt bei folgender Seite Alarm: http://consultdomain.de/forum/domaincafe/42979-de-de-neuer-inhaber-2.html

Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

Fehlalarm oder echt?

 

[ado83]

mein antivir schreit auch ;-)

 

[The-Dude]

ich wars net ...
Mein Kaspersky meckert nicht.

Viele Grüße

Dude

 

[vielleicht]

ich wars net ...
Mein Kaspersky meckert nicht.

Mein GData auch nicht.
Und die anderen meistens auch nicht.

 

[floES]

Hat mal jemand in den Quelltext geschaut, woran's liegen könnte?

 

[Arithmos]

Ich schätze, dass es mit den .de.de - URLs zu tun hat, die Harry gepostet hat.

http://consultdomain.de/forum/241432-post11.html

Checke doch mal, ob auch diese Seite angemeckert wird.

Gruß
M.

 

[peffianer]

Ich hab gerade nen ganz merkwürdigen Fehler. Hatte vorhin das Problem, dass ich sowohl Google.de als auch z.B. Amazon.de nicht mehr aufrufen konnte. Ich nutze den aktuellen Firefox.
Habe dann den PC neugestartet und es ging wieder. Bis dahin hab ich das Problem noch nicht mit dem Forum in Verbindung gebracht War ebend durch Zufall noch mal in diesem und dem verlinkten Thread und plötzlich funktioniert sowohl Amazon.de als auch Google.de nicht mehr. kA woran es liegt, mir ist nur der zeitliche Zusammenhang aufgefallen, kann auch an etwas Anderem liegen. Ich bekomme bei beiden Seiten einen Error 403

 

[Adomino]

mein antivir schreit auch ;-)

Also ich habe keinen Virus installiert auf der einen Seite bzw. im Thread :hmmmm:

Hängt vielleicht mit der geposteten Url consultdomain%de%de zusammen wo sich dann der Virnscanner nicht mehr auskennt ob das vielleicht Phishing ist. (oder einer der anderen geposteten URLs)

Ich habe Avira Antivir Personal und Chrome 3.0 und habe keine Meldung bekommen.

Harry

 

[Adomino]

Ich habe gerade den Artikel über das DNS-Service von Verisign gelesen und könnte mir vorstellen, das durch die Wildcard-Option die nun bei de.de eingestellt ist, es dadurch, wenn man einmal so eine de.de aufgerufen hat, es zu Routingproblemen kommen könnte. Es existieren ja die unterschiedlichsten Router (SW+HW) sowie Browser und ich möchte hier nicht ausschließen das es durch die Wildcards jetzt zu Problemen kommt :hmmmm:

domain-recht.de - News: ICANN – Absage an DNS-Sperren und Wildcards

Site Finder - Wikipedia, the free encyclopedia

Harry

p.s. ich habe jetzt auch gerade Routingprobleme gehabt. An was das liegt kann ich aber auch nicht sagen.

 

[Abrufkredit]

Das ist doch hoffentlich kein Dialer ?
Ich werde sofort neu formatieren.

 

[Adomino]

Das ist doch hoffentlich kein Dialer ?
Ich werde sofort neu formatieren.

Jetzt mach Dich nicht lustig, ich sehe das als großes Problem an. :froown:

Ich möchte wirklich nicht ausschließen das durch die Wildcardeinstellung von de.de oder überhaupt durch die Einführung der 2-stelligen Domains das ganze deutsche Internet in Probleme kommt da es vermehrt Routingprobleme gibt. Es ist ja schon sehr sonderbar das mehrere Leute nun immense Probleme mit dem Routing haben :hmmmm:

.de Premium Domains ? betroffene Domains können vererbt werden - Domainportal.de

"Die in RFC 1535 beschriebenen technischen Risiken sind auch heutzutage nicht einfach zu beheben. Dazu müssten Einstellungen und Protokolle auf allen betroffenen Stellen berichtigt und überwacht werden, was nahezu unmöglich sein. Derzeit gebe es immer noch einen großen Anteil an DNS-Anfragen, die falsch geroutet werden, was ein Resultat des immer noch bestehenden Problems gem. RFC 1535 ist."

Ich verstehe nicht so ganz das Frau Dolderer beim letzten DVF noch groß gesagt hat das die Probleme wie im RFC 1535 beschrieben sind intern geprüft und bestätigt wurden und dann ein paar Wochen später die 2-stelligen Domains zur Registrierung frei gibt. :hmmmm:

Hier eine deutsche Übersetzung des RFC 1535 Problems:
RFC 1535 Übersetzung in Deutsch.

"Dieses Dokument behandelt einen Fehler in einigen der derzeit verteilt Name Resolver-Clients. Der Fehler setzt eine Sicherheitslücke im Zusammenhang Schwäche auf die heuristische Suche, die von diesen Resolver, wenn Benutzer eine partielle Domain-Namen, und der ist einfach zu nutzen"

Harry

 

[Abrufkredit]

Also auf jeden Fall bekomme ich auch eine Virusmeldung.

 

[floES]

Hängt vielleicht mit der geposteten Url consultdomain%de%de zusammen wo sich dann der Virnscanner nicht mehr auskennt ob das vielleicht Phishing ist. (oder einer der anderen geposteten URLs)

Ja, so wird es sein, denn bei dem erkannten "Virus" soll es sich ja um Spoofing/Phishing handeln - wenn dort also eine .de.de-Verlinkt ist, ergibt das Sinn.

Ich habe Avira Antivir Personal und Chrome 3.0 und habe keine Meldung bekommen.

Es meldet die Avira Antivir Premium Edition - offenbar scheint die also in der Tat mehr zu bringen, als die Personal Version. Auch wenn's hier wohl ein "false positive" war - lieber einer zu viel, als zu wenig ;-)

 

[coder]

... RFC 1535 Problem ...

Sorry, aber das Dokument behandelt ein Problem aus 1993, also von vor 16 Jahren. Die Version des darin genannten Nameservers Bind 4.9.2, in der das Problem bereits behoben ist, steht den aktuell verwendeten Versionen 9.x (ab 2007, teilweise noch Version 8.x, aktuell seit 1999) gegenüber. In der Zwischenzeit gabe es diverse andere Sicherheitsprobleme im Zusammenhang mit Nameservern, die auch Bind betrafen. Wenn ein Nameserver noch diese uralten Versionen verwendete und immer noch läuft, dann ist er sowieso ein riesiges Sicherheitsproblem. Ob da noch das Catchall Problem einer "*.de.de" hinzukommt ist eher nebensächlich

Die andere Möglichkeit, die Domain zum Phishing zu verwenden weil der Benutzer das doppelte ".de" leicht überliest, sehe ich als das eigentliche Problem an.

 

[Zapp]

Wer verwendet denn schon eine .de-Domain als Phishing-Seite? Das wäre ja selten dämlich.

Da sehe ich keine Gefahr.

 

[vielleicht]

Täuschung

Gut,
Avira (Antivir) sagt: HTML/Spoofing.Gen - Vollstndig

HTML/Spoofing.Gen
Beschreibung:
Die Seite nutzt einen HTML Trick um den Benutzer zu täuschen. Dies wird "spoofing" genannt. Sehr oft wird so die URL einer Seite nicht korrekt angezeigt und der User denkt, er befindet sich auf einer Banken Seite. In Wahrheit besucht er gerade eine Seite, die vom Malware Autor erzeugt wurde, um Passwörter zu stehlen.

Also zu täuschen....
Ich habe mal die betroffene Seite http://consultdomain.de/forum/domaincafe/42979-de-de-neuer-inhaber-2.html gespeichert und mit Antivir prüfen lassen. Meldung : HTML/Spoofing.Gen.
Danach habe ich die Wildcard-Links die Harry reingestellt hat rausgenommen und die gespeicherte .html Site nochmal mit Antivir geprüft.
Ergebnis: keine Meldung mehr.
Für mich heisst es dass Antivir die Wildcard-Links als Phishing-Seiten eingestuft hat die zu täuschen vesuchen....
Wie gesagt mein GData ist nicht so empfindlich und .... zuverlässiger :top: