Neuerdings meldet mir NORTON INTERNET SECURITY die WoP-Webseiten als unsicher, weil eine Bedrohung davon ausgehe:


Bedrohungsbericht
Gesamtzahl gefundener Bedrohungen: 1


Viren (Was ist das?)
Gefundene Bedrohungen: 1
Hier ist eine vollständige Liste:

Name der Bedrohung: Trojan.Giframe
Adresse: http://forum.worldofplayers.de/forum/customavatars/avatar99038_18.gif


Was soll ich denn davon halten???






Click 'OK' to delete your review of this site.

Hi,
ist ja wohl ein scheiß scherz. Kaum klickt man auf dein Bild kommt Virenalarm, Thanks.


edit: Hier die Meldung von Avira,

http://upload.worldofplayers.de/files3/viren.JPG

ein virus als benutzerbild getarnt, so wie es aussieht. wessen bild ist das denn? kann man das rausfinden?

Neuerdings meldet mir NORTON INTERNET SECURITY die WoP-Webseiten als unsicher, weil eine Bedrohung davon ausgehe:


Bedrohungsbericht
Gesamtzahl gefundener Bedrohungen: 1


Viren (Was ist das?)
Gefundene Bedrohungen: 1
Hier ist eine vollständige Liste:

Name der Bedrohung: Trojan.Giframe
Adresse: http://forum.worldofplayers.de/forum/customavatars/avatar99038_18.gif


Was soll ich denn davon halten???






Click 'OK' to delete your review of this site.



Was ein Virus ist? Les das (http://de.wikipedia.org/wiki/Computervirus) mal ...

und zu diesem Virus, den Text der jetzt kommt habe ich im Internet gefunden, also muss nicht unbedingt wahr sein.



Als Info kann ich euch erstmal sagen, dass besagter Trojan.Giframe keine Schadsoftware auf dem Rechner installiert, die das Betriebssystem beschädigt.
Laut Symantec und Norton tritt dieser Trojaner in gif-Bildern auf und beinhaltet eine Weiterleitung auf andere (bösartige) Websites.

Die Einstufung des Trojaners ist mit "sehr niedrig" angegeben.

Mehr Info´s dazu auch hier: http://www.symantec.com/security_response//writeup.jsp?docid=2008-082500-0801-99


Wem gehört das Benutzerbild? Auf jeden Fall muss erstmal sein Avatar weg ...

Hi,
ist ja wohl ein scheiß scherz. Kaum klickt man auf dein Bild kommt Virenalarm, Thanks.


edit: Hier die Meldung von Avira,

http://upload.worldofplayers.de/files3/viren.JPG

Bei mir meldet der nichts :dnuhr:

Kann sich nur um einen Fehlalarm handeln, da es irgendwie schlecht möglich ist, einen Trojaner über ein Avatar einzuschleusen oO

Einzige möglichkeit ist, diesen (http://forum.worldofplayers.de/forum/member.php?u=99038) User auf Ignore zu setzten, da dann das Avatar nicht mehr angezeigt wird.


@Raygen
Die UserID steht in der Avatar URL.

Kann ich bestätigen Antivir springt bei mir auch sofort an.

Bei mir meldet der nichts :dnuhr:

Kann sich nur um einen Fehlalarm handeln, da es irgendwie schlecht möglich ist, einen Trojaner über ein Avatar einzuschleusen oO

Einzige möglichkeit ist, diesen (http://forum.worldofplayers.de/forum/member.php?u=99038) User auf Ignore zu setzten, da dann das Avatar nicht mehr angezeigt wird.


@Raygen
Die UserID steht in der Avatar URL.

Mhmm, geht das nicht das es so getarnt wird :dnuhr: ? Ich weiß das nicht so genau.

Avira Spuckt zu der Meldung folgendes aus:


Name: TR/Spy.Banker.vk.1
Entdeckt am: 31/08/2006
Art: Trojan
In freier Wildbahn: Nein
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Mittel
Statische Datei: Ja
Dateigröße: 448.328 Bytes
MD5 Prüfsumme: f50D69bac27736ecd238039405bf3b60
VDF Version: 6.31.01.124 - Tue, 16 Aug 2005 17:03 (GMT+1)

General Verbreitungsmethode:
• Keine eigene Verbreitungsroutine


Aliases:
• Kaspersky: Trojan-Spy.Win32.Banker.aww
• TrendMicro: TSPY_BANKER.EZL
• VirusBuster: TrojanSpy.Banker.EKW
• Bitdefender: Generic.Banker.Delf.11A1B4E9


Betriebsysteme:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003


Auswirkungen:
• Zeichnet Tastatureingaben auf
• Änderung an der Registry
• Stiehlt Informationen

Bei mir geschieht rein gar nichts...

Bei mir meldet der nichts :dnuhr:

Kann sich nur um einen Fehlalarm handeln, da es irgendwie schlecht möglich ist, einen Trojaner über ein Avatar einzuschleusen oO

Einzige möglichkeit ist, diesen (http://forum.worldofplayers.de/forum/member.php?u=99038) User auf Ignore zu setzten, da dann das Avatar nicht mehr angezeigt wird.


@Raygen
Die UserID steht in der Avatar URL.

Naja, hier steht was anderes, da steht was von gif Bildern. Und das Bild ist schließlich ein gif.


Als Info kann ich euch erstmal sagen, dass besagter Trojan.Giframe keine Schadsoftware auf dem Rechner installiert, die das Betriebssystem beschädigt.
Laut Symantec und Norton tritt dieser Trojaner in gif-Bildern auf und beinhaltet eine Weiterleitung auf andere (bösartige) Websites.

Die Einstufung des Trojaners ist mit "sehr niedrig" angegeben.

Mehr Info´s dazu auch hier: http://www.symantec.com/security_response//writeup.jsp?docid=2008-082500-0801-99

Bei mir kommt auch nix, kann aber daran liegen, dass ich im Moment von einer Ubuntu Life CD im Internet bin und ich weiß nicht, ob das ein Virenschutz hat ...
müsste ich mal gucken ...

Da du ein Linuxsystem hast ist da keine Gefahr für dich.

Da du ein Linuxsystem hast ist da keine Gefahr für dich.

ok, das ist gut. Danke :gratz

puuuuuh, bei mir istder PC nämlich gerade abgestürzt, nachdem ich die Uhrzeit umgestellt habe :D Aber war wohl nur ein Aufhänger, funkts ja wieder ...

bei mir kommt das:
http://upload.worldofplayers.de/files3/tKuntitled1.bmp

bei mir kommt das:
http://upload.worldofplayers.de/files3/tKuntitled1.bmp


Mhhh, bei dir ist es ein Troj. Spy Banker.vk.1. Bei Kleine Fee auch.

bei Hera kam ein Trojan.Giframe. Ist das das gleiche ?

Mein internetschutz meldet mir das selbe. Ich habe norton. Ich habe auch deswegen bltfeuer schon eine pN geschickt, ich finde das ser seltsam. Das sollte umgehenst behoben werden.

Mhhh, bei dir ist es ein Troj. Spy Banker.vk.1. Bei Kleine Fee auch.

bei Hera kam ein Trojan.Giframe. Ist das das gleiche ?
Ja, da leider jeder antivirensoftwarehersteller die Schädlinge anders benennt.

Ja, da leider jeder antivirensoftwarehersteller die Schädlinge anders benennt.

Bei mir ist es auch ein Trojaner. Aber ist doch ganz egal was es ist, es muss entfernt werden.

Ja, da leider jeder antivirensoftwarehersteller die Schädlinge anders benennt.

Ok, danke dir :gratz

Ziemlich bescheuerte Sache, dass das jeder anders benennt.

Habe Animus schon deswegen angeschrieben. Ich hoffe der liest das und entfernt den Avatar.


Bei mir ist es auch ein Trojaner. Aber ist doch ganz egal was es ist, es muss entfernt werden.

Da hast du Recht

Da du ein Linuxsystem hast ist da keine Gefahr für dich.
Es ist aber nicht grundsätzlich auszuschließen. Fehler in Gif Routinen kann es auch in Gnu/Linux Systemen geben.

Es ist aber nicht grundsätzlich auszuschließen. Fehler in Gif Routinen kann es auch in Gnu/Linux Systemen geben.

ohhhh, das ist wieder schlecht :D

Bei mir kam aber keine Virusmeldung. Vllt. liegt das daran, dass das eine Life CD ist ...

Naja, bisher ist ja nix passiert. Also gehe ich davon aus, dass ich mir keinen Virus eingefangen habe !

ohhhh, das ist wieder schlecht :D

Bei mir kam aber keine Virusmeldung. Vllt. liegt das daran, dass das eine Life CD ist ...

Naja, bisher ist ja nix passiert. Also gehe ich davon aus, dass ich mir keinen Virus eingefangen habe !

Bei ner Live-CD ist das eh egal, da der Virus nach dem nächsten Neustart wieder weg wäre, es wird ja nichts dauerhaft gespeichert. ;)

Bei ner Live-CD ist das eh egal, da der Virus nach dem nächsten Neustart wieder weg wäre, es wird ja nichts dauerhaft gespeichert. ;)



Das ist super. Jetzt bin ich aber so was von erleichtert ....

Dankeschön :gratz

Hat sich schon ein Admin dieser Sache angenommen ? Ist zwar kein sonderlich schlimmer Virus, aber weg sollte er trotzdem.

Ein Admin kann durchaus herausbekommen welcher User das Bild benutzt. Im Code ist schließlich die Benutzer-ID (99038) enthalten.

Als User könnte man einfach den Forenteil auf 20 Posts eingrenzen bis diese Warnung kommt und dann mit Rechtsklick auf die Avatare nach den Benutzernummern suchen. Da ich noch eine vierstellige Benutzer-ID habe, gehe ich davon aus das es ein relativ neuer User ist (wir sind derzeit bei rund 105.000 angemeldeten Benutzern)

Eigentlich dürfte doch eh nicht viel passieren, eine Weiterleitung auf eine andere Seite ist das einzige was möglich ist und das ist ja eigentlich nicht sonderlich schlimm.
Aber trotzdem sollte es natürlich schleunigst entfernt werden.

Achja, Norton meldet bei mir gar nichts...

Ein Admin kann durchaus herausbekommen welcher User das Bild benutzt. Im Code ist schließlich die Benutzer-ID (99038) enthalten.

Als User könnte man einfach den Forenteil auf 20 Posts eingrenzen bis diese Warnung kommt und dann mit Rechtsklick auf die Avatare nach den Benutzernummern suchen. Da ich noch eine vierstellige Benutzer-ID habe, gehe ich davon aus das es ein relativ neuer User ist (wir sind derzeit bei rund 105.000 angemeldeten Benutzern)

User wissen wir doch schon. Es ist der hier:
http://forum.worldofplayers.de/forum/member.php?u=99038.

Ein Admin kann durchaus herausbekommen welcher User das Bild benutzt. Im Code ist schließlich die Benutzer-ID (99038) enthalten.

Als User könnte man einfach den Forenteil auf 20 Posts eingrenzen bis diese Warnung kommt und dann mit Rechtsklick auf die Avatare nach den Benutzernummern suchen. Da ich noch eine vierstellige Benutzer-ID habe, gehe ich davon aus das es ein relativ neuer User ist (wir sind derzeit bei rund 105.000 angemeldeten Benutzern)

Es muss ein ganz neuer User sein, der den Trojaner mit seinem Avatar wissentlich oder unwissentlich eingeschleust hat! Oder ein "alter" User müsste seinen Avatar geändert haben. - Gestern schlug Norton Internet Security noch keinen Alarm, erst seit heute.

Es muss ein ganz neuer User sein, der den Trojaner mit seinem Avatar wissentlich oder unwissentlich eingeschleust hat! Oder ein "alter" User müsste seinen Avatar geändert haben. - Gestern schlug Norton Internet Security noch keinen Alarm, erst seit heute.
Norton sollte, wenn ich das richtig sehe, auch nur auf Seiten anschlagen, auf denen der Avatar eingebunden ist, also z.B. das Profil des genannten Nutzers oder eben jede Seite im Forum, auf der ein Beitrag dieses Nutzers zu sehen ist.

Zu meiner Überraschung enthält die GIF-Datei am Ende in der Tat HTML-Code, und zwar folgenden:

<!-- INICIO - PUBLICIDAD POP-UP UNDER -->
<IFRAME SRC="http://www.ciudad.com.ar/ar/popunder/p_submit.asp?site=personales.ciudad.com.ar" width=1 height=1></IFRAME>
<SCRIPT LANGUAGE="JavaScript">
//<!--
for (var i=1; i<15; i++){
setTimeout('self.focus();',i*30);
}
//-->
</SCRIPT>
<!-- FIN - PUBLICIDAD POP-UP UNDER -->
Die Frage ist jetzt, inwiefern dieser Code durch den Browser überhaupt interpretiert/ ausgeführt wird, weil er sich ja in einem Bild und nicht im eigentlichen Code der Seite befindet. Da zumindest in diesem Beispiel JavaScript verwendet wird, wäre es bis zur Klärung vielleicht ratsam, JavaScript vorübergehend zu deaktivieren und zusätzlich die im Code angegebene URL zum IFrame zu blocken.

Zumindest in meinem Browser (SeaMonkey in der z.Z. aktuellsten Version) wird nichts angezeigt, was darauf schließen lässt, dass dieser Code im Bild durch den Browser interpretiert wird.

Hab den Ava mal runtergeladen und prompt hat Norton eingegriffen und den Download verhindert. Dort wird das Sicherheitsrisiko allerdings sogar als Hoch bezeichnet.

Hab den Ava mal runtergeladen und prompt hat Norton eingegriffen und den Download verhindert. Dort wird das Sicherheitsrisiko allerdings sogar als Hoch bezeichnet.Da meckert auch mein G-Data - der meldet sich mit nem knallroten Screen. Schöner Schock. :D

Das Risiko ist auch nicht unerheblich. Die Weiterleitung an sich ist wenig problematisch, aber auf der Zielseite selbst kann verschiedenste Schadware lauern. Die ist zwar in der Regel für ein auf dem neuesten Patchstand und mit einem guten Virenkiller ausgestatteten System kein Problem, aber sicher ist sicher. Man weiß ja nie wann man auf den allerneuesten Trojaner/Virus stößt den der eigene Virenkiller bisher noch nicht kannte. :D

Laut der Analyse von Thoronador will der Trojaner einen zu einer Argentinischen Seite schicken.

Laut der Analyse von Thoronador will der Trojaner einen zu einer Argentinischen Seite schicken.


Wenn ich in das Adressfeld das hier eigebe : http://www.ciudad.com.ar/ar/popunder/p_submit.asp?site=personales.ciudad.com.ar dann öffnet sich ne seite und da steht dann page not found, entweder existiert die seite nicht mehr oder ich habe den url falsch eingegeben ...

Der Avatar ist weg und der Benutzer erstmal in der Sigsünder-Gruppe.

Der Avatar ist weg und der Benutzer erstmal in der Sigsünder-Gruppe.

§danke§danke Danke für die Bearbeitung. :gratz

jetzt isser auf meiner ignore liste^^

Da meckert auch mein G-Data - der meldet sich mit nem knallroten Screen. Schöner Schock. :D

Das Risiko ist auch nicht unerheblich. Die Weiterleitung an sich ist wenig problematisch, aber auf der Zielseite selbst kann verschiedenste Schadware lauern. Die ist zwar in der Regel für ein auf dem neuesten Patchstand und mit einem guten Virenkiller ausgestatteten System kein Problem, aber sicher ist sicher. Man weiß ja nie wann man auf den allerneuesten Trojaner/Virus stößt den der eigene Virenkiller bisher noch nicht kannte. :D

Aber wenn keine Weiterleitung erfolgt dürfte auch sonst nichts passieren, also wenn ich auf der WoP-Seite bin hat der Schädling nichts bewirkt, oder wie kann man das verstehen?

Dann wäre ja, da die Seite eh nicht existiert, kein Sicherheitsrisiko vorhanden (gewesen)?

Der Avatar ist weg und der Benutzer erstmal in der Sigsünder-Gruppe.

dankeschön.

an sowas "bösartiges" hab ich bisher noch gar nicht gedacht gehabt, dass sich hinter einem avatar oder signaturbild etwas bösartiges verstecken könnte. gehört hatte ich davon, aber ich fühlte mich im forum so sicher. zum glück hab ich auch antiviren programme, die rechtzeitig meldung machen.

Mag sein, dass die manipulierte Gif-Grafik bei einem oder wenigen Browsern und vermutlich auch nur bei bestimmten Versionen überhaupt anschlagen kann.
Wenn es bei einem Browser funktioniert, würde der Code eine Website aufrufen. Was auf der Website einen dann erwartet ist eine ganz andere Frage und hat mit dem manipulierten Gif-Dingens ansich nichts mehr zu tun.
Kann sein, dass einen auf der Website nur öde Werbng erwartet, kann aber auch sein, dass auf der Website ein weiterer Exploit lauert um über eine Sicherheitslücke im Browser was Böses zu installieren.
Dass der Virenscanner so einen terror schlägt, dazu besteht ansich erstmal kein Anlass. Der Gif-Exploit, soweit er in einem speziellen Browser funktioniert, ist unschön, aber ansich nicht gefährlich. Gefährlich könnte, unter bestimmten Umständen, das sein, was auf der heimlich geöffneten Seite lauert.

Ist man bei WinXP mit einem eingeschränkten Benutzerkonto unterwegs, oder hat in Vista UAC aktiviert, dürfte, ohne eigenes Zutun (z.B. plötzlich angebotene Software zu installieren) nichts passieren. Bedient man sich eines Adminaccounts oder hat UAC deaktiviert, geht man ganz klar ein Risiko ein. Insbesondere wenn man den IE oder eine alte Firefoxversion nutzt.

Linuxnutzer surfen im Allgemeinen nie mit Adminrechten. Von daher ist ein eventueller Schädling schonmal sehr eingeschränkt in seinem Wirkungsbereich.
Ich persönlich hab mein Opera noch mit einem AppArmor-Profil zusätzlich eingeschränkt.

Der Avatar ist weg und der Benutzer erstmal in der Sigsünder-Gruppe.

Nun müsste NORTON INTERNET SECURITY eigentlich Entwarnung geben bzw. gar keine Warnung mehr anzeigen, aber Warnung und Link, wie bei der Threaderöffnung angegeben, kommen immer noch.

Hoffentlich stehen die WoP-Webseiten jetzt nicht auf Nortons "Schwarzer Liste". :rolleyes:

Nun müsste NORTON INTERNET SECURITY eigentlich Entwarnung geben bzw. gar keine Warnung mehr anzeigen, aber Warnung und Link, wie bei der Threaderöffnung angegeben, kommen immer noch.

Hoffentlich stehen die WoP-Webseiten jetzt nicht auf Nortons "Schwarzer Liste". :rolleyes:
Beim Klick auf den Link des Startposts kommt bei mir eine Meldung dass das Bild nicht gefunden werden konnte, vor dem Entfernen schlug immer Avira an.

Also bei mir meldet Norton immer noch dass die Website unsicher sei:dnuhr:

Hi,
vielleicht mal den Browser-cache lehren? :dnuhr:

Habe ich getan! Nützt aber leider auch nichts. Bild kann nicht gefunden werden, aber NORTON nervt nun bei jeder WoP-Seite, die man aufruft, mit einer Warnung, die nicht mehr aktuell ist. :mad:

Das wird bei mir aber auch manchmal angezeigt wenn ich zb auf Links klicke die zu WoP leiten. Da unten is aber so ein Button, dann geht das irgendwie

Norton nervt noch weil die Warnung nicht von deinem Computer kommt, sondern wegen der "schwarzen Liste".

Solange das hier nicht weg ist http://safeweb.norton.com/ wird es noch bleiben.

Norton nervt noch weil die Warnung nicht von deinem Computer kommt, sondern wegen der "schwarzen Liste".

Solange das hier nicht weg ist http://safeweb.norton.com/ wird es noch bleiben.

Tja, komischerweise spuckt er bei Eingabe von "worldofplayers.de" eine Warnung aus (KLICK (http://safeweb.norton.com/report/show?url=worldofplayers.de)) während er "worldofgothic.de" wohl akzeptiert (KLICK (http://safeweb.norton.com/report/show?url=worldofgothic.de&.x=12&.y=8)).

:dnuhr:

Habe Norton deswegen kontaktiert.

Norton hat uns von der "schwarzen Liste" gestrichen.

Norton hat uns von der "schwarzen Liste" gestrichen.


ok, sehr gut. Dankeschön. Denn bald wenn mein PC wieder funktst wollte ich mir etvl. Noton holen ...

Also Dankeschön :gratz