Über die Ostertage wurde eine Drive-by-Attacke auf die Besucher der PCtipp-Website verübt. Die potenzielle Gefahr konnte rasch behoben werden.
Das Swiss Government Computer Emergency Response Team (GovCERT.ch) überwacht ständig das Schweizer Internet auf Sicherheitsvorfälle. Ihm ist es aufgefallen, dass die PCtipp.ch-Website manipuliert worden war, um Besucher auf andere Webseiten mit Schadcode umzuleiten. Konkret haben sich die Angreifer Zugang zum System des PCtipp verschafft und ein manipuliertes JavaScript platziert. Über dieses kompromittierte Script sollten die Besucher auf andere Websites mit Malware umgeleitet werden. Dank der Hilfe der Melde- und Analysestelle Informationssicherung des Bundes (Melani) wurden die verseuchten Scripts von unseren Technikern entfernt. Ausserdem wurde die benutzte Sicherheitslücke identifiziert und geschlossen.
Wer ist betroffen?
Wer eine aktuelle Sicherheitssoftware im Einsatz hat und seine Webbrowser sowie das Betriebssystem und die Programme wie auch Flash, Acrobat Reader und QuickTime immer mit den neusten Updates versorgt, ist im Vorteil. Wenn Sie auf eine der beiden Sites, die auf den Screenshots von Melani zu sehen sind, umgeleitet wurden, ist Ihr Rechner möglicherweise durch Malware verseucht worden. Nämlich dann, wenn Sie beim Screenshot mit dem «HoeflerText» auf Update geklickt haben. Über die Terodot/Zloader-Malware wurde eventuell der Zbot-Banking-Trojaner heruntergeladen. Gemäss Melani erkennen immer mehr Virenscanner die Infektion und können sie bereinigen. Hier zur Liste.
Hier wird zum Update eines Fonts aufgerufen @ Melani
Wenn Sie das folgende Bild gesehen haben, sind Sie auf einer Scam-Site gelandet, die Sie zum Anruf auf die erwähnte Nummer bringen wollte.
Was kann ich gegen die Malware tun?
Die Melde- und Analysestelle Informationssicherung Melani gibt auf ihrer Website generelle Tipps zur Entfernung von Malware. Der Bund empfiehlt dabei den Einsatz der Software Norton Power Eraser. Weiter empfehlen die Experten von Melani, dass betroffene Benutzer ihre Passwörter ändern sollten (nicht nur auf dem System, sondern auch auf Websites, die sie nach der Infektion besucht haben plus Mailboxen-Logins etc). Weiter sind die Spezialisten der Meinung, dass infizierte Geräte – besonders im Firmenumfeld – besser neu aufgesetzt werden, da teilweise zusätzliche Malware-Komponenten heruntergeladen werden und der Aufwand für eine gründliche Analyse oft grösser ist.
Auch wir haben hier auf PCtipp.ch Anleitungen zum Erkennen und Entfernen von Schadsoftware. PCtipp-Abonnenten erhalten die G Data Internet Security – PCtipp-Edition hier kostenlos. Wir bedauern diese mittlerweile behobene Sicherheitslücke zutiefst. Der Schadcode konnte durch unsere Techniker innert kurzer Zeit entfernt werden. Sie können unsere Website unbesorgt wieder besuchen. Wir nehmen diesen Vorfall sehr ernst und bauen unsere Sicherheitsmassnahmen mit Experten weiter aus.
Auf der nächsten Seite finden Sie Links zu unseren diversen Sicherheitstipps
Soviel zum Thema- Wann stellt PCtipp seine Website auf "https"!!!!!!!!um????????? In den USA würde man dafür wohl einige Millionen Schadenersatz zahlen müssen!
Das jetzt nur PCtipp-Abonnenten G Data Internet Security (PCtipp-Edition) erhalten, finde ich mehr als "Kundenfreundlich"!
Die verlinkte Virenscannerliste- kann mann darüber seinen PC laufen lassen? Wenn ja, wie funktionierts?!
Gaby Salvisberg
19.04.2017
Hallo Leute
Wo war den die Sicherheitslücke? SQL injection? Lücke im nginx?
Das weiss ich leider nicht. Sie sei aber jetzt geschlossen.
Soviel zum Thema- Wann stellt PCtipp seine Website auf "https"!!!!!!!!um?????????
Sobald wir dies mit vertretbarem Aufwand können. HTTPS alleine hätte das Problem aber vermutlich auch nicht verhindert.
In den USA würde man dafür wohl einige Millionen Schadenersatz zahlen müssen!
Ein Grund mehr, sich zu freuen, dass wir nicht in den USA sind. Der uns entstandene Schaden (Aufwand für Reparatur der Lücke, Ärger usw.) ist mutmasslich schon jetzt weit grösser als Deiner. Es ist ja nicht so, dass wir uns «freuen», wenn einer auf unserer Seite sowas hinterlässt.
Das jetzt nur PCtipp-Abonnenten G Data Internet Security (PCtipp-Edition) erhalten, finde ich mehr als "Kundenfreundlich"!
Ich finde, zahlende Abonnenten dürfen gerne mal den einen oder anderen Vorteil haben. Alle anderen können übrigens jederzeit bei verschiedensten Antivirusherstellern kostenlose 30-Tage-Testversionen von deren Produkte herunterladen. Im Falle von GData wäre das hier: https://www.gdata.de/kostenlos-testen.
Die verlinkte Virenscannerliste- kann mann darüber seinen PC laufen lassen? Wenn ja, wie funktionierts?!
Wir verlinken im Artikel auf ein Tool von Norton, welches offenbar in solchen Fällen empfohlen wird. Wenn Du mir die Zeit gibst, kann ich am Artikel weitermachen, in welchem ich beschreibe, wie man das Norton-Tool benutzt.
Herzliche Grüsse
Gaby
malamba
19.04.2017
Inzwischen habe ich es auch verstanden ;-)
Die Liste zu "virustotal.com" zeigt die Schadstoff-erkennenden Scanner an.
Ich war von der Malware nicht betroffen, ansonsten...;-((
Wäre PCTipp wegen fehlendem (HTTPS) selber zu Schaden gekommen, würde wahrscheinlich kein Aufwand gescheut um die Umstellung zu realisieren?!
Gaby Salvisberg
19.04.2017
Hallo malamba
Ich war von der Malware nicht betroffen, ansonsten...;-((
Wahrscheinlich wären die wenigsten betroffen gewesen, denn die meisten Webbrowser patchen sich ja selbst einigermassen zeitnah.
Wäre PCTipp wegen fehlendem (HTTPS) selber zu Schaden gekommen, würde wahrscheinlich kein Aufwand gescheut um die Umstellung zu realisieren?!
Du kannst Dir sicher sein, dass wir von der Redaktion denen, die fürs Budget und die Technik zuständig sind, schon seit Monaten mit «macht endlich https!» in den Ohren liegen. Irgendwann werden wir siegen! ;)
Herzliche Grüsse
Gaby
malamba
19.04.2017
Budgetverantwortliche haben leider zu oft andere Schwerpunkte=Geld einsparen auf kosten von.........
In diesem Sinn- Weiter ab-warten und Tee trinken;-)
19.04.2017
19.04.2017
19.04.2017
19.04.2017
19.04.2017