Trojaner-Alarm in der Lenovo Edge Treibermatrix!

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
73.727
Fast erledigt - siehe ab Beitrag 54
(ich möchte den Threadtitel nicht ändern, um zu verhindern, dass Links von anderen Webseiten ins Leere laufen)
-------------------------------------------------------------------------
Als ich gestern in der Lenovo Treibermatrix den Link zu "Edge 13, 14, 15, E30, E40, E50" anklickte, schrie Karspersky lauthals Alarm:
Anhang anzeigen 31108

Zum Gegentest versuchte ich heute gleiches mit einem Rechner auf dem Avira installiert ist:
Anhang anzeigen 31107

Wagt Euch also erst einmal mit Vorsicht an die Edge Treibermatrix
 

Anhänge

  • trojaner1.jpg
    trojaner1.jpg
    35,4 KB · Aufrufe: 126
  • trojaner bei Levono.jpg
    trojaner bei Levono.jpg
    32,6 KB · Aufrufe: 144
Hat meine gestrige Mail also was gebracht ;) - sogar mit Link auf diesen Thread.
 
Bemerkt wurde es sehr schnell, lies die Kommentare hierzu ;)
Außerdem habe ich eine entsprechende Mail an die Redaktion geschickt.

Winfuture hat den "Fehler" von Heise übernommen und ebenfalls vom "Lenovo-Forum" geschrieben.

War übrigens schlau gemacht mit dem Trojan Downloader:
Freitag Abend, also vor dem Wochenende, wenn wegen des Wochenendes niemand seitens Lenovo eingreifen kann. Die werden erst ab Montag morgen Ortszeit etwas unternehmen (können).

Edit:
Eben wollte ich nach einem Treiber für X61 schauen:
Anhang anzeigen 31183

Nach Anklicken des Schalters "Warum wurde diese Seite gesperrt?"
Anhang anzeigen 31184

Bei 39 Seite(n) von insgesamt 46 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-06-20 und verdächtiger Content wurde auf dieser Website zuletzt am 2010-06-20 gefunden.
 

Anhänge

  • lenovosperre.jpg
    lenovosperre.jpg
    105 KB · Aufrufe: 72
  • lenovosperre1.jpg
    lenovosperre1.jpg
    120 KB · Aufrufe: 65
Well done Mornsgrans. Hätte nicht gedacht, daß sogar heise die Meldung bringt. Die Diskussionen dazu im heise Forum sind übrigens auch interessant. Da sieht man mal, daß der ein oder andere sowohl hier als auch dort unterwegs ist.
 
An welcher Stelle taucht der Trojaner genau auf? Bei der Auswahl des Notebooks? Ich rufe meine Treibermatrix immer direkt per Link auf und gehe nicht über das Auswahlmenü von Lenovo. Bisher hat Avira nichts angezeigt, auch gestern nicht.
 
Wenn es sich bei den Meldungen tatsächlich um einen Angriff handeln sollte kann es doch nicht sein dass das bei IBM niemand sitzt der sich auch am WE um solche Dinge kümmert? Das sind doch keine Hinterhof-Schrauber? ?(
 
Wohl aber ein großer Konzern mit Zutrittsbeschränkungen in der EDV. Außerdem sind die Seiten nach meinem Kenntnisstand vor einigen Monaten zu Lenovo umgezogen.
 
Trotzdem, dass die niemand übers WE "anphonen" können von der EDV. :pinch:

...

Das dauert keine Stunde zumindest die bekannten iFrames rauszunehmen.
 
Kleine und mittlere Unternehmen sind da sicher flexibel genug.

Da Webseiten heutzutage nicht selten mit Joomla, Typo3 u.ä. erstellt werden, dürfte es nicht eine Sache von "paar Minuten" sein.
 
Naja, das rausnehmen auf den bekannten Links sollte schon schnell gehen.

Die Lücken finden und alle Pages durchzusehen ist natürlich ne ganz andere Sache..
 
[quote='Mornsgrans',index.php?page=Thread&postID=877742#post877742]Winfuture hat den "Fehler" von Heise übernommen und ebenfalls vom "Lenovo-Forum" geschrieben.[/quote]Fiel mir auch sofort auf als ich es vorhin las. Hab' den Fehler dort mal korrigiert. Ich hab' dort Bearbeitungsrechte. Sorry dafür.
 
Yes, it's a well-crafted attack.

Often, the i-frame or script code injection is not the fault of the web site itself, rather, the web hosting server where the vulnerability lies, giving the hacker root access whereby the malicious code can be injected into all of the HTML pages, as shown in your example.

Using IE to watch the pages load, we see the malicious domain being loaded by the I-frame you post:

...

That domain has been taken down, so we can't see how the actual exploit works. Most malicious sites these days have an exploit pack, a group of exploits looking for a vulnerability in the user's system when redirected to the malicious website.
Quelle

Liegt also wahrscheinlich nicht an der Webseite selbst, sondern an einer Sicherheitslücke des Servers. Die Domain, von der die Schadsoftware nachgeladen wurde ist deaktiviert worden, dass die Schadwirkung nicht erforscht werden kann.

(Da wurde wohl sehr schnell reagiert, um weiteren Schaden abzuwenden :thumbup: )
 
Hi,

so es ist Montag und Lenovo arbeitet an der Behebung des Problems.

Mark und Cleo (Lenovo) bitten darum, geplante Downloads zu verschieben, bis die Server wieder schadfrei sind.

Es soll nur der download.lenovo.com Server betroffen sein.

Garantieabfragen oder die Suche nach System Service Parts liegen auf Lenovo.com und sollen nicht betroffen sein.

Aktuell informieren über die aktuelle Lage kann man sich in diesem Thread im Lenovo Forum (Englisch)
 
20.06.10: Schadcode beim Lenovo-Treiber-Download

Quelle: heise.de
http://www.heise.de/newsticker/meldung/Schadcode-beim-Lenovo-Treiber-Download-1025789.html

Schadcode beim Lenovo-Treiber-Download

Das Treiber-Download-Portal des Hardware-Herstellers Lenovo hat vorübergehend Schadcode verteilt. Mehrere Virenscanner meldeten einen Java-basierten Trojaner-Downloader beziehungsweise -Dropper. Noch immer befindet sich der von den Angreifern hinterlegte IFrame mit Verweis auf den Server volgo-marun.cn auf mehreren Seiten des Servers download.lenovo.com.

Derzeit verlaufen die Verweise auf den chinesischen Server allerdings ins Leere, sodass keine akute Gefahr besteht. Auch die Browser Firefox und Chrome warnen ihre Anwender inzwischen vor Zugriffen auf den Server. Da Lenovo aber anscheinend noch nicht reagiert hat, steht die Sicherheitslücke möglicherweise noch offen, sodass die Angreifer unter Umständen jederzeit aktualisierte IFrame-Links in den Download-Seiten hinterlegen könnten.

Der verwendete Dropper ist bereits mindestens seit Ende Mai bekannt. Welchen Schadcode er letztlich nachgeladen hat, ist unklar. Im Lenovo-Forum tauchten erste Hinweise auf die IFrames am vergangenen Samstagmittag auf. Wer in den vergangenen Tagen das Lenovo-Download-Portal besucht hat, sollte seinen Rechner mit aktualisierten Virensignaturen auf Einbruchsspuren untersuchen. (cr)
 
[quote='AGotthelf',index.php?page=Thread&postID=878002#post878002]Es soll nur der download.lenovo.com Server betroffen sein.[/quote]

Dein Wort in Gottes Ohren. Dennoch auch über "http://www-307.ibm.com..." prüfen, da ich immer über diese Seite rein gehe und dort auch der Alarm kam. - Zumindest wird diese Domain in der Adresszeile des Browsers angezeigt.
 
Hallo Goonie,

die Meldung kennen wir schon, Mornsgrans hat Heise informiert. ;)

@Mornsgrans

Ja, am besten erstmal alle Download oder Aktivitäten auf den Lenovo Servern unterlassen. So lange man nicht weiß, was hinter den URL´s stecken kann.

Besondere Gefahr besteht mit IE ohne Avira, Kaspersky oder Eset Nod32 diese Seiten zu betreten, da weder der IE noch die anderen Scanner auf die Gefahr anschlagen.
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben