Virus im Eisenbahnforum

[Boris Merath]

Das Eisenbahnforum wurde am 30.5. Opfer eines Angriffs durch einen Trojaner. Auf diese Art wurden zwei Manipulationen vorgenommen. An einen kleinen Teil der Mitglieder wurde eine E-Mail verschickt, die einen Link auf ein Programm enthält, das vermutlich einen Trojaner oder Virus installiert. Die betreffenden Nutzer haben von mir noch eine Warnmail erhalten, trotzdem hier auch noch einmal die Bitte, diesen Link auf keinen Fall anzuklicken!

Der zweite Punkt ist leider deutlich unangenehmer: Es wurde in den HTML-Code des Forums ein Code eingebaut, der eine Sicherheitslücke im Internet Explorer ausnutzt, um auf diese Art einen Trojaner einzuschleußen. Wer genau von dem Problem betroffen ist kann ich nicht genau sagen, für Win2000/XP existiert wohl ein Patch, so dass manche IEs u.U. dagegen immun dagegen sind. Gerüchteweise gibts es für ältere WIndows-Versionen allerdings keinen Patch. In wie weit andere Browser auch betroffen sind kann ich nicht genau sagen, angeblich sind die neueren Firefox/Mozilla-Versionen nicht betroffen, garantieren kann ich das aber nicht.
Konkret heißt das: Ich empfehle allen Windows-Nutzern (besonder Benutzer des Internet Explorers), die das Eisenbahnforum am 30.5. nach 21 Uhr aufgerufen haben, ihren PC von einem Virenscanner genau unter die Lupe nehmen zu lassen. Besonders wichtig ist, dass der Virenscanner auf dem aktuellsten Stand ist - d.h. mit den aktuellsten Signaturen versorgt. Ein Virenscanner ist aber auch für die die jetzt zu der genannten Zeit nicht online waren eine sinnvolle Anschaffung, da potentiell jede besuchte Seite einen solchen Code enthalten kann.

Nach einem genauen Durchsehen des Datenbestandes und der Dateien des Forums hat sich gezeigt dass es nur eine Manipulation gab, die jetzt auch beseitigt ist. Aus diesem Grund ist das Forum jetzt wieder geöffnet. Allerdings habe ich aus Sicherheitsgründen die Mitgliederdaten auf den Stand von 30.5., 21 Uhr zurückgesetzt, konkret heißt das: Änderungen an Profilen wie z.B. Passwort, Signatur o.ä. in diesem Zeitraum sind wieder zurückgesetzt worden. Ebenfalls stimmt die Anzeige der Zahl ungelesener persönlicher Nachrichten niht, sofern eine Nachricht nach dem 30.5., 21 Uhr eingetroffen ist.

Ich möchte mich bei allen (insbesondere bei den direkt betroffenen) für alle Unannehmlichkeiten und daraus entstehenden Probleme entschuldigen - es tut mir wirklich leid dass das passiert ist. Leider war diese Art Problem nicht vorhersehbar, da die Ursache außerhalb meines Einflußbereiches lag. Die Sicherheitslücke ist inzwischen beseitigt, so daß es auf diese Art zu keinen Problemen mehr kommen kann.

Boris
Admin

[ICE_4]

Is inzwischen genauer bekannt, wer des war der des Forum gehackt hat?

Gruss Flo

[Oliver-BergamLaim]

Is inzwischen genauer bekannt, wer des war der des Forum gehackt hat?

Gruss Flo

Selbst wenn, wird das wohl kaum veröffentlicht...

[mapic]

Also mein Virenscanner hat schlimmeres verhindert. Irgendwie hat sich da die Windows Bild- und Faxanzeige geöffnet, es konnte aber kein Bild angezeigt werden, und dann kam auch schon die Meldung dass da ein Virus ist...
Insgesamt sehe ich das durchaus positiv, denn so habe ich noch ein paar Trojaner entdeckt, die schon seit längerer Zeit unbemerkt auf meinem Rechner waren

[Catracho]

Bei mir ist nichts passiert - das ist das schöne an einem Apple. Hoffe sehr das es keine Rechner von irgendjemandem hier im Forum erwischt hat. Sauerei sowas.
Mfg
Catracho

[Cmbln]

Naja, ich war ja selbst schuld! Warum mußte ich auch den Link in der E-Mail öffnen...

Aber jetzt ist alles wieder okay!

[Total]

Tja , ich hatte kein anti Virus Programm an , das ergebnis :

ca 100 Eisenbahnfotos von meiner letzten Tour nach Freiburg unwiederbringlich gelöscht , festplatte muste formatiert werden , das heist das auch 3 selbstumgebaute und regepaintete Trainsimulator fahrzeuge sind dahin...

Nebenbei bisher 6 stunden arbeit für das neueinrichten des Pcs...

Alles in allem mit 2 worten zu beschreiben - Zum Kotzen !!!

Aber das pasiert mir nicht nochmal , jetzt bin ich besser geschützt !

[Boris Merath]

Is inzwischen genauer bekannt, wer des war der des Forum gehackt hat?

Es dürfte sich um ein automatisches System handeln - zumindest ist das Eisenbahnforum lang nicht das einzige betroffene.

ca 100 Eisenbahnfotos von meiner letzten Tour nach Freiburg unwiederbringlich gelöscht , festplatte muste formatiert werden

Bevor es jemand nachmacht: Die Festplatte muss deswegen nicht formatiert werden. Das Installieren eines aktuellen Virenscanners ist da die sinnvollere Variante, der sollte in der Lage sein den Virus zu entfernen.

[arj]

Zum Glück war ich am Dienstag abend nach halb 10 nicht mehr Online *puh*

Vielen Dank an Boris für die schnelle Reaktion, die Warnung an alle User und das Reparieren des Forums!

[elchris]

Solche Trojaner zeigen immer wieder schön, wer hier noch blauäugig ungeschützt rumsurft, so ne Aktion ala gib AIDS keine Chance sollte man auf diverse Microsoft-Nebensoftware weiterführen.

[tra(u)mmann]

@Boris
Danke für die schnelle Reparatur und die Mühe. Ich hatte schon Entzugserscheinungen und bin froh, dass das Forum wieder dar ist. ich weiß selbst, dass man trotz guter Wartung und dem Treffen von Vorsorgemaßnahmen keine Infektion sicher verhindern kann.

Zu dem besagten Zeitpunkt fiel mir übrigens auf, dass das Forum erheblicher langsamer wurde. Ich dachte aber eher generell an eine höhere Last, die auf dem Server liegt, weniger an destruktive Software.

Ich habe mir wohl nichts eingefangen. Sophos findet keinen Virus, eine Firewall setze ich auch ein und Firefox, was mich wohl vor einer Infektion bewahrt hat.

[jadefalcon]

Bei mir ist nichts passiert - das ist das schöne an einem Apple. Hoffe sehr das es keine Rechner von irgendjemandem hier im Forum erwischt hat. Sauerei sowas.
Mfg
Catracho

Jau, so ein MacBook spukt mir derzeit auch immer wieder mal durchs Bewusstsein...

Wie auch immer, nachdem ich Boris' Warnmeldung gelesen hatte, habe ich gleich mehrfach nach Viren gescannt und zudem Spybot und Ad-Aware angewendet, alles ohne Befund. Die besagte E-Mail habe ich auch nicht bekommen.

Boris, auch wenn mir offenbar nichts passiert ist, danke auch ich dir für die schnelle Reaktion - auch wenn jemandem Daten abhanden gekommen sind, glaube ich nicht, dass man dich dafür irgendwie verantwortlich machen kann. Am besten unter "Lehrgeld" verbuchen.

[profimaulwurf]

Zu der Zeit war ich nicht im Forum, hatte aber vor ein paar Tagen ettliche Trojaner, habe sie dank Anti Vir entdeckt.
Und dann Tage später hatte mein IE nicht mehr funktioniert und auch nicht mehr das IE Implantat im Mozilla.
Bis ich dann festgestellt habe, daß eines dieser dummen Dinger mir die IE Einstellungen verändert hat um auszuspionren,
was ich so mit meinem IE mache. Praktisch nichts, denn mit dem IE gehe ich nur auf eine einzige Page und während ich den
Trojaner hatte war ich praktisch nicht auf dieser Seite - also müssen es relativ neue Trojaner sein, die derzeit unterwegs sind.

Auf jeden Fall auch von meiner Seite: Danke für die Warnung, Boris.

Gruß
Christoph

[ehcstueDBahn]

Ich werde derzeit auch von einem Trojaner genervt, wobei ich mir nicht sicher bin, ob der Vom EF stammt, aber vom Startpunkt her dieser Nervereien siehts aber danach aus (war zur betroffenen Zeit hier online)... der befällt ständig fs9.exe (Flugsimulator), was zur Folge hat, dass ich die datei ständig neu kopieren muss, und diese dann eine halbe Stunde später wieder vom Virenscanner gelöscht wird... Ich weiß nur nicht warum genau nur DIESE Datei befallen wird, und sonst nix anderes... :unsure: da kann ich nix gegen machen. Naja, hoffentlich passiert nix schlimmeres (mein System ist jetzt vielleicht grad einen Monat alt -> Virus... schon das 3. oder 4. mal neuinstalliert <_< ) Mal schaun was die Festplattenscan ergibt.

MFG

ehcstueDBahn

[Thomas089]

Bei mir hat der Internet-Explorer beim Öffnen der Einstiegsseite einen Skript-Fehler gemeldet und ist dann stehen geblieben. Mein Norton AntiVirus hat dann bei einem Suchlauf 6 infizierte Dateien im Bereich des Java-Plugin gefunden. Er hat sie bereinigt, trotzdem habe ich sicherheitshalber mein letztes System-Backup zurückgespielt.

Auch von mir herzlichen Dank an Boris für die Mühe und für die Warn-Mail. Ich hatte die Mail mit dem Trojaner auch bekommen. Da dann auch schon die Warnung im Postfach war, wusste ich sofort Bescheid, so dass ein Öffnen der Trojaner-Datei ausgeschlossen war.

@Total (und andere): Es ist dringend zu empfehlen, regelmäßige Backups zu ziehen und zwar auf andere Medien, also externe Festplatte, DVD-RWs, etc. Datenverlust kann nicht nur durch Infektion entstehen, sondern auch durch Festplatten-Crash oder Fehleingabe des Benutzers. In diesen Fällen ist eine Wiederherstellung der Daten sehr teuer und aufwendig, wenn nicht sogar unmöglich.

Viele Grüße,
Thomas

[billyguru]

Danke an die schnelle Warnung! Hier ein Hinweis eines IT´lers:

- nehmt den IE nur in Notfällen falls andere Seiten nicht korrekt mit einem Alternativbrowser angezeigt werden
- Haltet euer System ständig aktuell, immer Updates einspielen
- Alternativer Browser wie Firefox, es hat natürlich jeder Browser Sicherheitslücken, bei dem einen kommen sie halt häufiger vor und werden irgendwann gefixt, bei dem anderen die sind nicht so schnell betroffen, Lücken werden aber schnell gefixt
- Aktuelle Virenscanner, lieber etwas Geld ausgeben, die Freewarelösungen sind nicht immer die besten, aber natürlich besser als nichts
- Firewall

zur Sicherheit folgendes Tool herunterladen und installieren: www. hijackthis.de / Bietet auch automatische LogFile Auswertung an!

[marco]

Hallo
bei mir hat der Virus gleich paar mal zugeschlagen, mein Virusprogramm konnte ihn aber vernichten.

Wie konnte der Code eigentlich eingebaut werden?

Gruß marco

[Guido]

Mein System blieb wie vom Virus verschont. Wie immer. Auch die Mail hat mich nie erreicht, sie wurde von meinem Spamfilter rausgefischt. Habe im übrigen nie Probleme mit Viren, man braucht halt nur ein gut konfiguriertes System ... einmal eingestellt, nie mehr verändert ... und wie man sieht, funktioniert ...

Achja: etwas älteres verteufeltes Microsoft Windows mit Internet-Explorer 5 + Firewall + Virenscanner + Spamfilter
Einzigster Haken, die Schutzprogramme machen das Windows leider etwas behäbig ... aber damit kann ich leben.
Nur der so hoch gelobte Feuerfuchs, der lädt gerne mal einen Virus mit runter, aber das weiß ich mittlerweile schon, bei welcher Seite der Virenscanner schreien wird (komisch, IE macht das nicht, sondern zeigt die Seite gar nicht erst an sondern bringt nur "Seite kann nicht angezeigt werden")

[BajK]

ich bin immer aktuell geupdated (was für ein Wort...), aber der Firefox kommt mir in 1000 Jahren nicht drauf.

Zum Glück war ich auf ner Lan vom 31.5. bis 1.6., deshalb konnte mir nix passieren
Und hab von 8 Uhr morgens (gestern) bis heute um 11 gepennt

[elchris]

aber der Firefox kommt mir in 1000 Jahren nicht drauf.

Warum? Die Mozilla-Engine ist seit Erscheinen des Firefox genauso tolerant zu unglücklich gecodeten Seiten wie der IE.

[Ike59]

das schnelle und umsichtige managen dieser panne hätte jedenfalls manch professioneller seite gut zu gesicht gestanden!
meinen respekt....!!!

grüßli
ike

[Alex420-V160]

Auch von mir herzlichen Dank an Boris für die Mühe und für die Warn-Mail. Ich hatte die Mail mit dem Trojaner auch bekommen. Da dann auch schon die Warnung im Postfach war, wusste ich sofort Bescheid, so dass ein Öffnen der Trojaner-Datei ausgeschlossen war.

Ich hatte die eMail um 21:52 Uhr bekommen, da hatte ich grad zufälligerweise den Mozilla Thunderbird offen. Schau mir also die eMail kurz an und mir war gleich klar, dass kann nix gscheids sein. So hab ich dann gleich den Boris benachrichtigt und die eMail an ihn weitergeleitet. Ich bin froh, dass er so schnell Entscheidungen getroffen und Maßnahmen unternommen hat, damit so wenige Benutzer wie möglich Gefahr laufen, sich den Virus einzufangen.
Erstaunt bin ich aber darüber, dass nicht alle die Mail erhalten haben - zum Glück!

Schönen Abend,
Alex

[Catracho]

Erstaunt bin ich aber darüber, dass nicht alle die Mail erhalten haben - zum Glück!

Das ist sowieso so ein Rätsel....

Ich bin so ziemlich die einzige Person in meinem engeren Freundeskreis, die hotmail von Microsoft als Email-Provider benutzt und ich habe in den sechs Jahren vielleicht zwei oder drei Spam-Mails bekommen. Leute die ich kenne die web.de oder gmx.de oder sonstwas nutzen kriegen mindestens zwei oder drei Spammails pro Tag - keine Ahnung warum das bei hotmail nicht auch so ist. Und ich hab die Mail jetzt auch nicht bekommen. Und selbst wenn - bei mir hätt's halt wie gesagt auch nichts anrichten können.
Mfg
Catracho

[ropix]

Das ist sowieso so ein Rätsel....

Ich bin so ziemlich die einzige Person in meinem engeren Freundeskreis, die hotmail von Microsoft als Email-Provider benutzt und ich habe in den sechs Jahren vielleicht zwei oder drei Spam-Mails bekommen. Leute die ich kenne die web.de oder gmx.de oder sonstwas nutzen kriegen mindestens zwei oder drei Spammails pro Tag - keine Ahnung warum das bei hotmail nicht auch so ist. Und ich hab die Mail jetzt auch nicht bekommen. Und selbst wenn - bei mir hätt's halt wie gesagt auch nichts anrichten können.
Mfg
Catracho

Hängt immer davon ab, wo die E-Mail-Adresse überall veröffentlicht ist. Ich bekomm - mit eigener Domain - an die 30 Spams pro Tag.

[Catracho]

Hängt immer davon ab, wo die E-Mail-Adresse überall veröffentlicht ist. Ich bekomm - mit eigener Domain - an die 30 Spams pro Tag.

Also im Zweifesfall ist meine Email-Adresse "veröffentlichter" als die meiner Freunde und Bekannten. Und die werden mit Spam regelrecht bombardiert.
Mfg
Catracho

[Cmbln]

Hängt immer davon ab, wo die E-Mail-Adresse überall veröffentlicht ist. Ich bekomm - mit eigener Domain - an die 30 Spams pro Tag.

Ich, der zwar keine eigene Domain hat, dafür aber in vielen Internetforen vertreten ist, bekomme am Tag auch bis zu 10-15 Spam-Mails... Allerdings leistet Web.de da gute Arbeit und läßt diese nicht zu mir durch, Outlook sei Dank !!

[ropix]

Also im Zweifesfall ist meine Email-Adresse "veröffentlichter" als die meiner Freunde und Bekannten. Und die werden mit Spam regelrecht bombardiert.
Mfg
Catracho

Hm... - na es hängt immer ab wo. Einmal falsch einetragen und das ganze hört nie mehr auf

[DispolokMaxi]

Also ich hab bei GMX und Googlemail einen Account und hab noch nie Spammails bekommen. Bei GMX lag mal eine Mail im Ordner Spamverdacht, die aber gar keine Spammail war...keine Ahnung wieso GMX die da reingeordnet hat... :blink:

Die Virenmail lag auch in meinem Postfach. Nachdem aber auch Boris´Warnmail drinnen war, hab ich sie gelöscht ohne den Link anzuklicken. Hab dann zwei Virenprogramme rüberlaufen lassen, die haben nichts festgestellt.

[Der Adler]

Zunächst mal möchte ich dem verantwortlichen Administrator Herrn Boris Merath für seine schnelle Reaktion gratulieren, nicht auszudenken, was passiert wäre, wenn das Virus -auch ohne Mailversand- auf dem privaten PC übertragen würde, allerdings ist der Virenscanner scharf geschaltet und hat viele Webseiten, die vom Server zwecks Zwischenspeicherung runtergeladen wurden, aus der Festplatte entfernt ferner besitze ich ZoneAlarm im Windows XP, da die XP-Firewall für mich nicht mehr zuverlässig ist. Mit denen kann ich bestimmen, welche Webseite den Cookie abrufen darf, welche nicht. Ferner werden sämtliche gespeicherte Seiten inkl. Cookie wöchentlich gelöscht.

Erwähnen muß ich aber noch, daß das einschleusen von Viren in den PC anderer Personen, sowie das programmieren von Viren strikt untersagt und strafbar ist.

Wurde die Virensignatur der Polizei und an den Hersteller von Virenscanner übergeben?

PS.: Nicht daß ich mißtrauisch bin, aber zu meiner eigenen Sicherheit habe ich im Firewall die Funktion eines Skriptes für diese betroffene Webseite deaktiviert.

[ropix]

Zunächst mal möchte ich dem verantwortlichen Administrator Herrn Boris Merath für seine schnelle Reaktion gratulieren, nicht auszudenken, was passiert wäre, wenn das Virus -auch ohne Mailversand- auf dem privaten PC übertragen würde, allerdings ist der Virenscanner scharf geschaltet und hat viele Webseiten, die vom Server zwecks Zwischenspeicherung runtergeladen wurden, aus der Festplatte entfernt ferner besitze ich ZoneAlarm im Windows XP, da die XP-Firewall für mich nicht mehr zuverlässig ist. Mit denen kann ich bestimmen, welche Webseite den Cookie abrufen darf, welche nicht. Ferner werden sämtliche gespeicherte Seiten inkl. Cookie wöchentlich gelöscht.

Erwähnen muß ich aber noch, daß das einschleusen von Viren in den PC anderer Personen, sowie das programmieren von Viren strikt untersagt und strafbar ist.

Wurde die Virensignatur der Polizei und an den Hersteller von Virenscanner übergeben?

PS.: Nicht daß ich mißtrauisch bin, aber zu meiner eigenen Sicherheit habe ich im Firewall die Funktion eines Skriptes für diese betroffene Webseite deaktiviert.

@DT810 - du kannst beruhigt sein, die Virensignatur ist längst bekannt - ansonsten hätten die Virenscanner ja nix erkannt.

Ferner ist es nicht aufgabe der Firewall irgendwelche Anwendungsspezifisen Sachen zu tun - das sind Erweiterungen, die sicher lobenswert sind - aber klassische Firewalls lassen die Nutzerprotokolle eigentlich unangetastet. Siehe Windows-XP-Firewall, die ihren ZWeck durchaus erfüllt.