Auf Facebook geht gerade etwas Panik um, untermhaus.de würde den nationzoom.com-Virus verbreiten. Nun, dem ist nicht so.
Prinzipiell bestehen mehrere Möglichkeiten über so einen Webserver Schadsoftware zu verbreiten:
1. Modifikation der HTML/PHP-Files
Geschah hier nicht. Ich hab alle Files mit denen vom Backup vom 01.12.2013 verglichen, keine Änderung. PHP-Files sind vom Upload auch ausgeschlossen. 2 Dateien waren aufgrund der Filesystemprobleme des alten Servers kaputt, konnten aus dem Backup aber wiederhergestellt werden.
2. Upload von manipulierten Files welche beim Anzeigen Schwachstellen im Windows ausnutzen
Hab keine gefunden. Seit dem 01.12. kamen 32 neue Dateien dazu, virustotal.com hat keine angemeckert. Üblich sind manipulierte JPG und PDF-Dateien. Die JPG-Lücken sind aber schon ewig gepatcht, und PDFs gabs seitdem hier keine.
3. Anzeige von präparierten Werbebannern
So was haben wir gar nicht.
Der "Nation Zoom" ist ein Browser-Hijacker, welcher einfach Browsereinstellungen so verstellt, dass nationzoom.com bzw. die verbundenen yahoo-Dienste als Suchmaschine und Startseite eingestellt werden. nationzoom.com ist eine Metasuchmaschine und gibts erst seit dem 19.12.2013, keine Ahnung ob die "gut" oder "böse" sind.
Der Trojaner, mit dem das Ding auf den Rechner kommt, scannt wohl weiterhin Kreditkartendaten und dient dann noch als Einfallstor für nachfolgende Schadsoftware. Dass es beim Anzeigen von untermhaus.de zu einem Virenalarm kommt kann durchaus sein, hat aber mit der Seite hier nichts zu tun, sondern liegt wohl einfach daran dass in dem Moment der Internet-Realtime-Scanner der Antivirensoftware zuschlägt. Da ist es aber eh schon etwas zu spät, weil der Trojaner ja schon auf dem Rechner ist.
