Samstag, Februar 16, 2008

Verbreitet Partyguide Malware?

Link zu diesem Artikel


Diskretter Partyguide
Originally uploaded by emeidi

Am 13. Februar wurde ich von zwei Bekannten darauf hingewiesen, dass kurz nach dem Besuch der Homepage von Partyguide mit dem Internet Explorer ein nerviges Pop-Up erschien (s. Bild).

Indem der Benutzer auf Abbrechen klickt, erscheint das Pop-Up immer und immer wieder. Nach einigen Klickversuchen liess das Tool einem dann gar keine Wahl mehr:

DiskRetter wird jetzt ihre Festplatte scannen

Der eine Kollege vermutete daraufhin, dass dies wohl eine Revanche der Betreiber sei, wenn jemand mit einem Referer à la blog.emeidi.com oder pgwatch.wordpress.com auf Partyguide gelangt ...

Über DiskRetter

Eine Google-Suche liefert knapp 7'000 Treffer zu diskretter:

diskretter - Google-Suche

Folgender Bericht im Winboard-Forum scheint sich mit den Erfahrungen meiner Kollegen zu decken:

Ich habe eben mit Firefox 2.0.0.6 gesurft, habe ein neues Tab geöffnet und wollte mich bei kwick. anmelden, [...] aber plötzlich verschwindet mein Firefox-Fenster. In der Task-Leiste steht nur noch ein Icon vom Firefox und dahinter "Error Detectet - Mozilla Firefox" dafür aber erscheint Rechts untern ein Fenster (wie bei Fehlermeldungen). Siehe Screenshoot!!!

Quelle: diskretter.com

Mundtot machen

Bei mir kann ein solches Pop-Up gar nicht erst auftreten, da ich die Domain

phpads.partyguide.ch

seit Jahr und Tag in meinem DNS geblacklistet habe.

Dank: Mäxu & Bäschtu

Labels: , , ,

13 Kommentare | neuen Kommentar verfassen

Kommentare

neuen Kommentar verfassen

Blogger jonathan um 16.02.2008 17:26:00 Uhr

Man muss ja auch nicht unbedingt einen Referrer senden. RefControl

Blogger screwy um 16.02.2008 17:26:00 Uhr

Hi

Im PG Forum sind sie auch gerade am schreiben über Malware auf PG:
http://partyguide.ch/forum/showthread.php?s=&threadid=16626

ob es so was ähnliches ist wie BloggingTom schon über den Blick geschrieben hat:
http://bloggingtom.ch/archives/2008/01/08/malware-banner-beim-blick/

Naja hab noch nichts bemerkt blocke sowieso fast alles von PG :D


Gruss Michu

Blogger eMeidi um 16.02.2008 17:34:00 Uhr

@jonathan: Das mit dem Referer war ja auch eher ein Witz ...

Dennoch danke für den Tipp mit RefControl, ich habe dieses Thema auch schon in einem Artikel erläutert:

(Partyguide) Referer-Check austricksen

Anonymous Anonym um 17.02.2008 03:44:00 Uhr

Was soll das Fragezeichen? PG ist Malware ;-)

Wir Argonauten.

Anonymous ugugu um 17.02.2008 11:36:00 Uhr

think eMeidi
Von so nem Technik-Kram habe ich ja keine Ahnung. Allerdings bin ich beeindruckt, wie Du diesen infight gegen Partyguide durchziehst ;-)

Anonymous makwert um 17.02.2008 12:37:00 Uhr

Bei mir passierte das auf PG nie. Aber mein Antivirusprogramm wurde sofort fündig. Das wird in diesem Fall das gewesen sein.

Blogger eMeidi um 17.02.2008 13:06:00 Uhr

Das wird in diesem Fall das gewesen sein.

@makwert: Schick mal deine Virus Threat History, oder wie das bei deinem Antiviren-Programm heisst ...

Anonymous makwert um 17.02.2008 17:23:00 Uhr

Meinst du das?

In der Datei 'C:\Dokumente und Einstellungen\makwert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4JW4236Q\gnida[1].swf'
wurde ein Virus oder unerwünschtes Programm 'SWF/Dldr.Gida.A' [SWF/Dldr.Gida.A] gefunden.

Das war 2. mal der Fall.

Anonymous Anonym um 18.02.2008 08:39:00 Uhr

Mir ist das ganze letste Woche in der Berufsschule aufgefallen. Zuhause wird phpads.partyguide.ch sowieso mit AddBlockPlus geblockt. Jedoch war ich da auch nicht schlecht erstaunt.

Bei mir war das Auftreten jedoch so, dass beim Klick auf Abbrechen der ganze Firefox abstürzte :) Zum Glück muss ich mich zuhause nicht über solche Probleme aufregen!

Jedoch ist es eher unwarscheindlich dass es am Ref. lag, da ich die Seite als erste aufgerufen hatte, und die Meldung trotzdem erschien. Naja.. vieleicht kann ich bei Jason eine kleine Stellungnahme auftreiben, jedoch denke ich, das PG eigentlich nicht wirklich viel dafür kann, da dies ev. auch von den Externen Werbern eingebunden wurde. Naja.. wir werden sehen. Ist eigentlich das Problem noch bestehen?

Gruss

Anonymous scream um 18.02.2008 08:43:00 Uhr

Mir ist das ganze letste Woche in der Berufsschule aufgefallen. Jedoch war das Auftreten etwas anders, da beim klick auf Abbrechen, Firefox sich gleich verabschiedete. Naja...

Aus meiner Sicht wird wohl nicht wirklich PG daran schuld sein, auch wenn es theoretisch möglich wäre. Ich denke aber eher, das die Werbung über externe Quellen geladen wird, und diese von Dort aus eigentlich schon korrupt war. Hat man(n) ja in letzter Zeit oft gelesen.

Zum glück kann mir das nicht passieren. Auch ohne DNS Blacklist, so wie es Mario beschrieben hat. Schliesslich hat nicht jeder einen eigenen DNS Server :) Daher AddBlockPlus für Firefox, phpads.partyguide.ch blockieren und schon hat man ruhe von dem ganzen Schnick schnack!

Gruss scream

Blogger eMeidi um 19.02.2008 08:53:00 Uhr

Aus meiner Sicht wird wohl nicht wirklich PG daran schuld sein, auch wenn es theoretisch möglich wäre. Ich denke aber eher, das die Werbung über externe Quellen geladen wird, und diese von Dort aus eigentlich schon korrupt war. Hat man(n) ja in letzter Zeit oft gelesen.

Durchaus. Deshalb spielt es eine grosse Rolle, wen man als Web-Site-Betreiber als Lieferanten von Online-Werbung beauftragt.

Anonymous mix um 20.02.2008 12:25:00 Uhr

Jup, war ein Trojaner der Sorte "SWF/TrojanDownloader.Gida.A Trojaner" (Nod32 identifiziert ihn so).
Habe Support angeschrieben, keine Antwort (Wen erstaunts)...

Blogger Michael um 01.03.2008 11:09:00 Uhr

Hallo

Muss schon sagen das mit dem Blacklisten der Domain ist nen guten einfall. Und an alle diejenigen die keinen eigenen DNS-Server haben, fügt die domain in eure host datei ein und leitet sie z.B. auf 127.0.0.1 um. Somit ist das Problem auch erledigt. (Anleitung erfolgt bald mal auf meinem Blog www.blog.l0calh0st.ch ^^.)
Was auch noch effizient ist ist das "Flashblock Plugin"

greeZ