Nicht schlecht Herr Specht ... Jetzt schon Trojaner bei Ebay ...

[kangaroo72]

Da ruf ich grad 'ne Auktion für 'nen Handy-Bumper auf, und hier leuchten alle Alarm-Lampen ...

Programm: Kaspersky Security Suite
Betriebssystem: Microsoft Windows 7 x64 Edition Service Pack 1 (build 7601)
Computer: XXX
Domain: xxx

Meldungen:
        Wichtiges Ereignis: 22.07.2012 00:28:39 C:\...\MOZILLA FIREFOX\FIREFOX.EXE (PID: 3624): Download eines Objekts http://puntoclasico.com.ar/74053516.html. Es enthält trojanisches Programm HEUR:Trojan.Script.Generic. Verboten.

Hab dann die URL mal direkt aufgerufen, dann is nix passiert ... komisch

 

[Helios]

Dürfte sich um ein False Positive handeln. Scanne zur Sicherheit den Rechner komplett.

Bei allfälligen Fragen, wende Dich an das Kaspersky-Forum: Virus-related issues
http://forum.kaspersky.com/index.php?showforum=19

 

[elarei]

Naja, dass bei ebay ein Objekt von irgendeinem .com.ar-Server (Argentinien!) runtergeladen wird ist schon suspekt. Andererseits, kann man nicht externe Sachen in den Auktionstext bei ebay einbinden? Das würds ja erklären.

 

[Helios]

VirusTotal findet nichts... will aber nix heissen. Kaspersky ist in dieser Hinsicht normalerweise sehr zuverlässig, da Hybridlösung und reagiert somit extrem schnell auf neue Bedrohungen.

@kangaroo72: versuche es morgen nochmals mit Kaspersky... möglicherweise wird das Problem dann behoben sein. Ansonsten wende Dich an den Support.

 

[Helios]

Habe eine Anfrage an den Kaspersky Support eingereicht. Mal abwarten, wann mit einer Antwort gerechnet werden kann.

 

[martina]

Da hat die Heuristic in dem Script ein eventuell gefährliches Verhalten erraten.

 

[Helios]

Hier die Antwort von Dmitry (Kaspersky Viren-Analyst) ist bereits entgetroffen:

Guten Tag,

The URL is currently not available. If you have a local copy of the suspicious file, please send it in an archive with password 'infected' (without quotes).

Best regards, Dmitry Ivanov

Virus Analyst

@kangaroo72: Hast Du die URL nochmals versucht aufzurufen? Gemäss Dmitry ist sie im Moment nicht erreichbar. Ist etwas in der Quarantäne (URL, Datei etc.)? Du schreibst, Du hättest die URL direkt aufgerufen... dann gab es keine Malwaremeldung. Kannst Du den Vorfall stets noch reproduzieren?

LG Uwe

 

[scope2k]

Habe eben mal getestet, das File ist unter der URL nicht mehr auf dem Server und die URL ist bei ESET in der Blacklist. Scheint also kein Fehlalarm gewesen zu sein.

 

[Helios]

Gut... danke für die Info. Dann hat Kaspersky also zurecht ausgerufen. Gut zu wissen, dass man sich darauf verlassen kann.

Nachtrag: Kaspersky Lab reagiert wirklich extrem schnell. Letzte Nacht um 02.15 Uhr den Support kontaktiert und bereits ebenfalls letzte Nacht um 04.23 Uhr eine Antwort erhalten :thumbup:.

 

[Mornsgrans]

http://www.malwaredomainlist.com/mdl.php

2012/07/21_18:15 puntoclasico.com.ar/49023467.html 205.251.142.90 server1.i-byte.com. Java exploit - 27413 US

 

[Helios]

Aha Morns, super! Die Seite kannte ich noch gar nicht. Schon in die Lesezeichen verfrachtet .

 

[Mornsgrans]

Ich auch nicht. Hatte sie beim Googlen nach dem Domainnamen aus dem Startbeitrag gefunden.