robur

Seite http://www.mtkroms.com/2015/02/tutorial-to-set-up-cygwin-and-android.html schleudert Riskware

Recommended Posts

Hallo, liebe Experten,

 

als ich die Seite

hxxp://www.mtkroms.com/2015/02/tutorial-to-set-up-cygwin-and-android.html

mit Firefox auf meinem Wintron (Windows 8.1, Emsisoft AntiMalware) geöffnet habe, zuerst merkte ich, dass trotzt aktives AdblockPlus öffneten sich ein paar zusätzliche Tabs, die ich ohne drauf zu gehen einfach weggemacht habe. EmsisoftAntiMalware meldete nichts.

 

Die Seite mit dem Tutorial sah ordentlich aus, aber als ich versucht habe, den Druckvorschau zu öffnen, wurde nur eine einzige leere Seite gezeigt.

 

O.K., meinte ich, manchmal schafft das Internet Explorer, was Mozilla nich kann. Ich habe den Link kopiert und habe ich versucht, ihn im IE zu öfnnen.

 

Und hier gab es ab sofort was verrücktes: Explorer hat angefangen unzählige bildschirmgroße Infoblätter mit Virenwarnung und Aufforderung irgendwas zu klicken. Habe ich über das Kreuzchen das Blatt weggeschaft, sofort kamm das nächste und so weiter  Den IE könnte ich direkt auch nicht abschalten, erst über Task Manager, der funktionierte hat das geklappt.

 

Nach dem Abschalten habe ich bemerkt, dass die Ikone vom IE verschwand und schien, dass IE

 

Ganze Zeit hat es keine Reaktion seitens Emsisoft AntiMalware gegeben.

 

Da der Systembackup meines Wintrons nur ca. 20 GB groß ist und wird von mir wochentlich gemacht, habe ich auf Scannen des Rechners verzichtet und die Wiederherstellung des letzten Backups durchgeführt.

Danach habe ich EMS aktualisiert und sowohl das C:\ als auch die Externe SD-Karte D:\ gescannt - es wurde keine Malware gefunden.

Die SD-Karte scheint mir wichtig zu sein, weil ich auf dieser, wegen Hauptspeicherknappheit - nur 32 GB, davon von Windows 8.1 ca 16 GB belegt -

meine meisten Nutzprogramme und teilweise auch die Appdatas mit SymbolicLinks verlinkt habe.

 

Meine Frage: Wären Symbolic Links ein Problem für Emsisoft AntiMalware ?

 

Des Weiteren habe ich geprüft, was der Zugriff zu dieser Seite auf meinem Android Tablets (Android 4.4.2), mit Emsisoft Mobile, verursacht.

Als ich die Seite mit Firefox für Android geöffnet habe, kamen sofort Fenster mit angeblicher Google-Virenwarnung (?), in denen gab es ein Button, dass ich "unbedingt betätigen sollte.

Auch diesmal gab es keine Reaktion vom Emsisoft.

 

Erst nachdem ich das Scannen gestartet habe, wurde die auf dem Screenshot abgebildete Malware gefunden, in der Form einer App, die ich löschen könnte.

Meine Frage: Ist das Löschen der App ausreichend, oder soll ich lieber den ein bißchen älteren Systembackup wiederherstellen (das Gerät ist gerootet und habe ich Titanium Backup drauf) ?

 

Ich hätte gerne gewußt, was mit dieser Seite los ist.

 

Grüße - robur

 

post-11942-0-38499600-1459295517_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Hallo,

 

 

als ich die Seite

hxxp://www.mtkroms.com/2015/02/tutorial-to-set-up-cygwin-and-android.html

mit Firefox auf meinem Wintron (Windows 8.1, Emsisoft AntiMalware) geöffnet habe, zuerst merkte ich, dass trotzt aktives AdblockPlus öffneten sich ein paar zusätzliche Tabs, die ich ohne drauf zu gehen einfach weggemacht habe.

 

Das kann ich hier unter Windows 7 mit Firefox und aktivem Adblock Plus nicht nachvollziehen. Es öffnen sich keine weiteren Tabs. Daher empfehle ich für diesen Fall mal in unserem Unterforum Hilfe, mein PC ist infiziert! ein neues Thema zu erstellen und die angeforderten Logs bereitzustellen um zu prüfen ob der Rechner infiziert ist. Laut https://www.virustotal.com/de/url/196323f628ab8e0f29d26c1ba3a0aa73c06d7393b7ffa6bb56df9d66b9baa758/analysis/1459418581/ ist die Seite sauber und ich kann auch keine Unregelmäßigkeiten feststellen.

 

Zum Verhalten unter Ihrem Android Tablet mit Emsisoft Mobil Security läuft bereits eine interne Anfrage. Mein Kollege Thomas Ott wird Ihnen dann dazu noch Auskunft geben.

Share this post


Link to post
Share on other sites

Hallo, Herr Peters,

 

danke für Ihre Antwort. Ich bitte noch meine Tochter, dass sie auf Ihrem Tablet, auch mit Android 4.4.2. und Emsisoft Mobile die Seite aufruft und guckt, was auf ihrem Tablet passiert.

 

Was finde ich aber auch erstaunlich, wenn ich Ihre Forumseite aufrufe, staht permanent drauf, das. was Sie auf dem beigefügtem Bild sehen:

post-11942-0-93267800-1459419975_thumb.jpg
Download Image

 

also:b "0 replies", obwohl Sie schon längst meine Frage beantwortet haben.

Erst wenn ich das Thema anklicke, sehe ich das.

Es scheint komischerweise, dass auf dieser Seite nur meine Anfrage "eingefrohren" wurde,

 

Grüße - robur

Share this post


Link to post
Share on other sites

Erst nachdem ich das oben geschrieben habe, wurde die Atwortenzahl auf " 2 replies" aktualisiert. Früher half keine Firefox- Aktualisierung auf dieser der Seite, immer bleb "0 replies", dashalb dachte ich bis jetzt, dass ich noch keine Antwort bekommen habe.

Grüße-W.Lambui

Share this post


Link to post
Share on other sites

Hallo, Herr Peters,

 

möglicherweise habe ich die Grunde für das Problem gefunden.

Nicht die erwähnte Internetsete scheint dass Problem zu sein, sondern die sich auf dieser Seite befindliche Cookies-Akzeptanzaufförderung, die angeblich von Google kommt. Sehen Sie bitte den Screenshot:

 

post-11942-0-16742300-1459424644_thumb.jpg
Download Image

 

Sobald man "o.k." anklickt, wird die gewünschte MTK-Seite nach rechts verschoben und links startet ein neuer Tab, auf dem sich beim jeden Start was anders befindet - diesmal auf dem Screenshot steht "AutoMoneyGenerator" (Screenshot):

 

post-11942-0-16665500-1459424984_thumb.jpg
Download Image

 

Was bei mir stand, kann ich jetzt nicht sagen, aber das musste für das weitere Vorgehen verantwortlich sein. Ich bin jetzt nicht sicher, ob ich es geöffnet oder sofort gelöscht habe.

 

Wenn man aber den neuen Tab ignoriert und auf der "richtigen" Seite nochmals "o.k." anklickt, die Cookies-Akzeptanzaufförderung verschwindet und passiert nichts mehr verdächtiges.

 

 

Meiner Meinung nach, korrupt ist diese "fake"-Cookies Akzeptanzauförderung.

 

Des Weiteren: Wenn ich in diesem FF-Profil "NoScript" aktiviere, passiert kein Mist mehr.

 

Für mich komt aber komisch vor, dass weder Adblock noch Emsisoft auf das Öffnen von neuem Tab reagieren und nur NoScript davor schützen kann.

 

Grüße -robur

Share this post


Link to post
Share on other sites

Hallo, Herr Peters,

die Sache ist absolut reproduzierbar, und das auf mehreren Rechnern.

 

Alles verläuft wie folgt:

 

Ich erstelle ein Firefox-Profil, auf dem ich zuerst nur AdblockPlus als Add-on installiere.

Wenn ich die erwähnte Internetseite öffne, erscheint sie mit der angesprochenen Cookies-Akzeptanzaufförderung, wie unten:

 

post-11942-0-94908500-1459456990_thumb.jpg
Download Image

 

Sobald ich auf "o.k." klicke, wird die erwünschte Seite nach rechts verschoben, und links erscheint ein neues, immer anderes Tab, wie unten:

 

post-11942-0-43282500-1459457105_thumb.jpg
Download Image

 

Weder Adblock noch Emsisoft hätte was dagegen.

 

Da Firefox fast immer die neuen Tabs nicht links, sondern rechts öffnet, sieht das äußers außergewöhnlich aus und kann, je nachdem was im neuen Tab steht, zum öffnen dieses Tabs einregen.

Und dort kann schon eine Malware lauern.

 

Des Weiteren, installiere ich und aktiviere NoScript.

Wenn ich jetzt die Tutorial-Seite starte, erscheint diese diesmal ohne der Cookies-Akzeptanzaufförderung, siehe unten:

 

post-11942-0-85380100-1459457587_thumb.jpg
Download Image

 

Das kann aber meinere Meinung nach dafür sprechen, dass bereits auf der Hauptseite ein Script generiert wird, von dem (falls "o.k." geklickt) wird eine neue Verbindung (neues Tab) erstellt, die sowohl für Adblock, als auch Emsisoft keine verdächtige Verbindung darstellt.

 

Des Weiteren, ist es auch logisch, dass diese angeblich vom Google stammende Cookies-Akzeptanzaufförderung wenigstens ein PUP ist und gar nicht benötigt wird, um den Inhalt der Seite anzusehen.

 

Wenn ich dann NoScript in ADD-ons deaktiviere und die Tutorial-Seite wieder aufrufe, kommt diese wieder mit der  "fake" Cookies-Akzeptanzaufförderung, wie unten:

 

post-11942-0-90496100-1459458207_thumb.jpg
Download Image

 

Herr Peters, ich glaube kaum, dass nur diese Seite betroffen wird, es muss mehrere solche Seiten geben, dafür sorgen vor allem unsere "dynamische" Werbeagenturen, die bereits seit Jahrzehnten bei verschiedenen russischen, ukrainischen, und zuletzt auch chineschinen "Billigprogrammierern" solche "fake"-Schleusen für ihre Mistware bestellen.

 

Eine permanente Benutzung von NoScript wäre für mich möglich, aber umständig, weil ich beruflich mit verschiedenen professionällen Online-Tools arbeiten muss, die Java-Scripten benutzen.

 

Wäre es nicht möglich, dass bereits Emsisoft Anti-Malware solche "fake" Scripten usw. blockieren könnte ?

 

Vielen Dank im Voraus für Ihre Überlegung !

 

Grüße-robur

Share this post


Link to post
Share on other sites

ERGÄNZUNG:

Unten wird die Meldung gezeigt, welche kommt, wenn man mit aktiviertem NoScript (kein Adblock aktiviert) von der der Tutorial-Seite die Cygwin-Software downloaden versucht:

 

post-11942-0-72945600-1459464624_thumb.jpg
Download Image

 

Hierher wird offentlich zugegeben, dass die "Publishers" über diese Seite uns mit irgendwas "provide(n)" wollen, was nicht unbedingt harmlos sein muss. Einfach Mist !

 

Grüße - robur

Share this post


Link to post
Share on other sites

Hallo,

 

ich konnte das reproduzieren.

 

Die Cookie-Akzeptanzmeldung lädt das neue Tab über ein Skript mit verschiedenen Seiten um Klicks zu generieren. Da es sich bei diesen Seiten um keine schädlichen Seiten handelt wird auch nichts von Emsisoft Anti-Malware gemeldet. Wie sie schon erkannt haben ist dies nicht die feine englische Art aber auch nicht wirklich schädlich.

Share this post


Link to post
Share on other sites

Hallo Robur und bitte Entschuldigung für die späte Rückmeldung.

 

Ich habe leider noch immer keine Definitive aussage von unseren Technikern was die Frage betreffend schädlicher Android app betrifft.

 

Wenn man es genau nimmt ist ein Rücksetzten auf Werkseinstellung wenn damit keine allzu-großen Umstände in Verbindung stehen wohl immer vorzuziehen.

 

Ich werde mich mit unseren Entwicklern noch einmal in Verbindung setzen um sicherzustellen dass meine Anfrage nicht vergessen wurde und hoffe ich kann mich sehr bald noch einmal hier mit weiteren Informationen zurück melden.

Share this post


Link to post
Share on other sites

Mal ein Schuß ins Blaue. Ich weiß zwar nicht ob es so einfach ist, aber auf Seiten wo diese ominöse Cookiewarnung bzw. Cookies-Akzeptanzaufforderung kommt hilft hier das Add-on 'I don't care about cookies': https://addons.mozilla.org/de/firefox/addon/i-dont-care-about-cookies/?src=ss

Seitdem ich das installiert hab ist mir nicht eine der Warnungen mehr untergekommen. Auch nicht auf der Seite hxxp://www.mtkroms.com/2015/02/tutorial-to-set-up-cygwin-and-android.html von robur.

Share this post


Link to post
Share on other sites

@Thomas Ott

Danke für Ihre Antwort.

 

Leider, im Gegenteil zu PC und Windows, ist bei Android die sog. "Recovery Partition" keine "read only" und beim "Zurücksetzen auf Werkszustand" werden nur die User-Apps und Daten gelöscht. Wurde eine System-App von irgendwas beschädigt oder verändert, bleibt diese auch nach dem "Hardreset" (=Rücksetzten auf Werkseinstellung) genauso verändert.

Und auch, wenn ein Schädling ins System implementiert wurde, bleibt er auch nach dem "Hardreset" drin.

 

Dies kann man beim gerooteten Gerät einfach testen, indem man eine System-App (z.b. Galerie) zuerst irgendwo backupped und dann mit TitaniumBackup löscht. Nach dem Rücksetzten auf Werkseinstellung sieht man nicht nur, dass das Android-Gerät weiterhin gerootet ist (also kein Werkszustand!), sondern auch die gelöschte App weiterhin nicht da ist und man diese neu installieren muss.

Auch, wenn man eine User-App mit gleichem Werzeug ins System implementiert, bleibt diese App auch nach dem "Hardreset" drin.

 

Also, viel besser bei einer Systembeschädigundg funktioniert (wenn es natürlich "noch" geht) die Wiederherstellung des Vollsystem-Backups, wenn man den vorher erstellt hat.

Wenn das nicht geht, hilft nur die Neu-Installierung der gesammten Firmware, wenn man diese vom Hersteller bekommt.

 

Grüße - robur

Share this post


Link to post
Share on other sites

@Christian Peters

Danke für Ihre Antwort.

 

Dass der neue Tab nur eine Verbindung mit "unschädlichen Seiten generiert" kann ich aber leider bezweifeln, eher durch Zufall haben Sie keine schadliche gefunden.

Bei mir im ersten Fall kamen mehrere Seiten mit Warnungen, dass mein System von Viren befallen ist,  meine Daten gefährdet sind und Aufforderungen, dass ich irgendwas Anklicken soll, um die Sytuation zu retten. Leider habe ich damals keine Screenshots gemach, bin aber überzeugt, dass das, was von der FAKE-Cookies-Akzeptanzaufforderung (zur Zeit habe ich so was noch nirgendwo gesehen) generiert wird, kann alles mögliche sein.

 

Auch, dass der IE im gleichen Fall von "harmloser Seite" einfach geschossen wurde, kann Ihre Bechauptung nicht bestätigen.

 

Meinen Sie aber nicht, dass diese außergewöhnliche "Cookies-Akzeptanzaufforderung" eine neue Masche ist, die nicht akzeptiert werden soll ?

Ich bin dieser Meinung, und glaube dass überwiegende Menge User die gleiche Meinung teilen wird.

Wenn man so was akzeptieren wurde, wird Internet immer dreckiger.

 

Ich habe keine Zeit und Lust mich mit dieser Sache weiter zu beschäftigen, dass sollte eher Ihre Sache sein.

Im Momente weiss ich, wie ich mich persönlich davor schützen kann und dass man immer weniger sich auf die anderen verlassen soll.

 

Grüße - robur

Share this post


Link to post
Share on other sites

@brain_ticket

 

Danke für den Tip, scheint aber in diesem Fall nutzlos zu sein.

 

Zwar wenn ich die Seite hxxp://www.mtkroms.com/2015/02/tutorial-to-set-up-cygwin-and-android.html starte, erscheint keine "Cookies-Akzeptanzaufforderung" mehr, aber wenn ich irgendwas von dieser Seite downloaden versuche, wie unten:

 

post-11942-0-73482600-1459546167_thumb.jpg
Download Image

 

wird sofort im neuen Tab anstatt des Downloads eine zufällige FAKE-Seite, wie unten, geöffnet:

 

post-11942-0-18163500-1459546272_thumb.jpg
Download Image

 

Dies scheint noch gefährlicher, als ursprünglich zu sein, weil solche Seite , die durchhaus auch schädlich sein kann, wird quasi "selbsständig" geöffnet,

 

Ein Download findet nich statt, was eindeutig bedeutet, dass die Betreiber dieser Seite unbedingt mit diesem Mist ihr Geld "verdienen" wollen. Mist zu a² !

 

Grüße - robur

Share this post


Link to post
Share on other sites

Die hier gemeldete Seite darf als Adwareschleuder bezeichnet werden. Wenn dort ein Nutzer auf ein TAB klickt, unbedarft die angebotene Software installiert, dann darf er sich über solche Meldungen

 

https://virustotal.com/de/file/109e30ef219eb6a1cfcf59426e464baa35ceb24b9b8e7e87a6cc3da7130bfb04/analysis/1459600023/

 

nicht wundern. Auch nicht über das anschließende Bild:

post-21-0-55053400-1459601392_thumb.gif
Download Image

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.