Diskussionsforum
  • 12.01.2012 07:25
    mikiscom schreibt
    Also ich hab da so meine Zweifel ob das nicht ein Versuch ist, den Bundestrojaner zu verbreiten, indem man die Seite dort besucht.

    Schön Angst schüren, dann holen die Leute sich den Trojaner freiwillig auch ohne Sicherheitslücke. Wie in einer Spammail "Ihr ebay-account wird bald gesperrt wenn Sie nicht Ihre Zugangsdaten im folgenden Link eingeben..."

    Und "...im Höchstfall mehrere Jahrzehnte Haft." Ich habe mal gehört für Mord gibt's meist "nur" 16 Jahre. Dann noch "ist inzwischen geheilt" oder gute Haftführung. Und für's Unterschieben von falscher Reklame, wo trotzdem noch alle leben und niemand verletzt wurde gibt's viel mehr? Da läuft doch was falsch.
  • 12.01.2012 08:51
    niknuk antwortet auf mikiscom
    Benutzer mikiscom schrieb:

    > Also ich hab da so meine Zweifel ob das nicht ein Versuch ist,
    > den Bundestrojaner zu verbreiten, indem man die Seite dort
    > besucht.

    Ich habe die Seite besucht: sie enthält keinerlei aktive Inhalte, nur Text und 3 kleine GIF-Grafiken. Davon abgesehen, sollte man seinen eigenen Rechner ohnehin so gut wie möglich gegen Schadsoftware absichern. Dann hat auch der Bundestrojaner keine Chance ;-)

    Ich nutze z. B. den Firefox in der neuesten Version (9.0.1) mit dem Scriptblocker-Plugin NoScript. Letzterer verhindert, dass aktive Inhalte (also Javascript, aber auch Java, Flash und andere Plugins) gegen meinen Willen ausgeführt werden. Natürlich verhindert der Scriptblocker auf diese Weise auch, dass Angreifer Sicherheitslücken in Javascript oder in Plugins ausnutzen können. Damit wird es bösartigen Webseiten unmöglich gemacht, klammheimlich Schadsoftware auf einen Rechner zu spielen.

    Gruß

    niknuk
  • 12.01.2012 10:34
    mikiscom antwortet auf niknuk
    Benutzer niknuk schrieb:

    > Ich nutze z. B. den Firefox in der neuesten Version (9.0.1) mit
    > dem Scriptblocker-Plugin NoScript. Letzterer verhindert, dass
    > aktive Inhalte (also Javascript, aber auch Java, Flash und
    > andere Plugins) gegen meinen Willen ausgeführt werden.

    Wenn der alles blockiert, könnte der aber auch vorhandene Scripte auf der Seite blockieren, von denen du gar nix merkst, weil die blockiert werden. Oder hast du den Quelltext durchstöbert?

    Und irgendwas aktives muss doch drauf sein, sonst könnten die doch nicht prüfen, ob dein Rechner infiziert ist oder nicht.
  • 12.01.2012 17:56
    niknuk antwortet auf mikiscom
    Benutzer mikiscom schrieb:

    > Wenn der alles blockiert, könnte der aber auch vorhandene
    > Scripte auf der Seite blockieren, von denen du gar nix merkst,
    > weil die blockiert werden. Oder hast du den Quelltext
    > durchstöbert?

    Natürlich habe ich den Quelltext durchstöbert. Die Seite samt aktiver Inhalte wird ja auch komplett heruntergeladen, NoScript blockiert nur die Ausführung.

    > Und irgendwas aktives muss doch drauf sein, sonst könnten die
    > doch nicht prüfen, ob dein Rechner infiziert ist oder nicht.

    Nein, der Test kommt ohne aktive Inhalte auf der Seite aus. Er funktioniert folgendermaßen: der Nameserver, auf den der Trojaner DNS-Anfragen umleitet, wurde vom FBI übernommen. Danach wurden 2 Seiten ins Netz gestellt: "Ihr Rechner ist ok" und "Ihr Rechner ist infiziert". Beide Seiten sind unter dem gleichen URL http://www.dns-ok.de erreichbar. Wenn der eigene Rechner sauber ist, verwendet er den Nameserver des eigenen Providers. Dieser liefert für "http://www.dns-ok.de" die IP der Seite mit dem Hinweis "Ihr Rechner ist ok", worauf der Browser diese Seite anzeigt.

    Ist der eigene Rechner dagegen infiziert, leitet der Trojaner DNS-Anfragen auf den vom FBI kontrollierten Server um. Der wiederum ist so konfiguriert, dass er für "http://www.dns-ok.de" die IP der Seite mit "Ihr Rechner ist infiziert" liefert, worauf der Browser diese Seite anzeigt. Da dieser Nameserver aber nur vom Trojaner und von niemandem sonst benutzt wird, ist die Anzeige der Warnseite ein sicheres Indiz für eine Infektion des Rechners.

    Gruß

    niknuk
  • 12.01.2012 18:48
    spunk_ antwortet auf niknuk
    Benutzer niknuk schrieb:

    > "http://www.dns-ok.de" die IP der Seite mit "Ihr Rechner ist
    > infiziert" liefert, worauf der Browser diese Seite anzeigt. Da
    > dieser Nameserver aber nur vom Trojaner und von niemandem sonst
    > benutzt wird, ist die Anzeige der Warnseite ein sicheres Indiz
    > für eine Infektion des Rechners.

    die da?
    http://85.214.11.194/