Solche JavaScripte könnten schon zu Massen-SQL-Injection wie LizaMoon passen. Da du es aber in der Bildersuche gefunden hast, nehme ich an, dass es eher dazu gedacht ist, einen User direkt, also ohne Umwege über eine SQL-Injection, anzugreifen. Wonach hast du denn gesucht?

Gestern antwortete er mir mit dem Keyword nach dem er suchte. Drei Suchergebnisseiten später fand ich die Malware auf die er gestoßen war und nun weiß ich: In diesem Fall hat es nichts mit SQL-Injection zutun.


Als Windows-User bekomme ich ein sehr umfangreiches JavaScript untergeschoben, wobei eine 404-Fehlermeldung angezeigt wird — das Opfer also erst einmal gar nicht vermutet dass es gerade angriffen wird. Das JavaScript, welches im Hintergrund ausgeführt wird, sucht offensichtlich nach verschiedenen Sicherheitslücken auf dem Computer des Opfers. Es wird in Flash, im Acrobat Reader und auch in Java nach Lücken gesucht. Was bei einem Fund genau passiert, kann ich nicht sagen, da ich kein Spezialist für Malware bin. Mir ist es i.d.R. auch nicht wichtig zu erforschen welche Viren, Würmer und Trojaner sich nun genau einnisten. Schadsoftware ist Schadsoftware, egal ob sie nun HurZelBurzel0815 oder DummZeUch007 heißt. Für die Details, auch der Gegenmaßnahmen, sind die Malware-Spezialisten zuständig. Ich interessiere mich eher für die Verbreitungswege.


Die Malware unterscheidet zwischen Windows und OS-X. Ein Test unter Ubuntu brachte die gleiche Weiterleitung wie unter Windows. Da dies für mich unter Windows etwas unergiebig war, schaute ich es mir als MacLoser an. ;O)

(Ein kleines Video dazu: http://www.youtube.com/watch?v=FuNHSF6xv1U)

Dieser Fake-Antivirus Scanner ist extra für die Fanboys gedacht, die meinen, mit OS-X das sicherste Betriebssystem aller Zeiten zu benutzen. :O)

In dem Video sieht man das ein Download automatisch gestartet werden soll. Hierbei wird eine anti-malware.zip geladen, in der die Installationsdatei MacProtector.mpkg steckt. Der Server hinter der IP-Adresse aus dem Beispiel (69.50.202.201) wurde mittlerweile deaktiviert, aber mit 69.50.201.186 nutzt der Angreifer einen anderen Server, beim gleichen Provider. Zur Zeit startet auf der neuen Maschine noch kein Download.


Aber nun zum Verbreitungsweg.

Ein Blog, in dem es nur drei Einträge gibt, hat offensichtlich eine Sicherheitslücke über die der Angreifer ein eigenes PHP-Script einbringen konnte. Das Blog gehört zu den nutzlosen Seiten im Netz, die nur zum “Linkbuilding” bzw. Suchmaschinen-Zuspammen genutzt wird. Der Betreiber hat es wohl vergessen oder die SEO-Kampagne wurde einfach abgeblasen, denn der letzte Eintrag ist knapp 6 Monate alt.

Angeblich bietet dieses Blog aber mehr als 10.000 Bilder an und diese wurden alle von der Bildersuche von Google aufgenommen. Wird einem ein entsprechendes Bild angezeigt und klickt man darauf, so folgen die nächsten Schritte:

1. PHP-Script des Blogs wird aufgerufen.
   http://opfer.tld/15.php?q=zeuch
[REFERRER] http://www.google.

Wichtig ist hier der Referrer, also die aufrufende Seite. Ist kein oder der falsche Referrer enthalten, wird einfach nur die Startseite des Blogs angezeigt. Gültige Referrer sind: google, bing oder yahoo, aber nicht yandex.

2. Das Blog lädt eine Seite mit drei Zeilen JavaScript, welches nur zur Weiterleitung dient.
3. Eine ce.ms-Subdomain leitet nun weiter, auf den Server der die FakeAV-Seite anzeigt und die Malware zum Download anbietet.

Zum Teil werden die Server die den Fake-Antivirus Scanner anzeigen bereits deaktiviert oder vom Browser als Malware-Schleuder erkannt. Schaut man sich den obigen Punkt 2 etwas genauer an, so bemerkt man: Der Angreifer nutzt verschiedene ce.ms-Subdomains

http://www.utrace.de/?query=npbtfqxt.ce.ms

http://www.utrace.de/?query=vzaynvro.ce.ms

http://www.utrace.de/?query=jxqfkgny.ce.ms
die aber alle auf den gleichen Server zeigen.

Da Google bzw. die Browser und die Antivirus-Spezialisten automatisiert Malware erkennen und blockieren, erkennen sie nur den letzten Punkt, nämlich den, der beim User den angebliche Virenalarm auslöst. Würde man sich etwas mehr Mühe bei der Bekämpfung von Malware geben, so müsste der Server in Rumänien gesperrt werden.


Noch kurz zu den mehr als 10.000 Bildern in dem 3-Seiten-Blog.

Der Angreifer hat es geschafft sehr viele Einträge in der Bildersuche von Google zu hinterlassen, für Bilder die zwar irgendwo gehostet sind, aber nicht in dem Blog. Wie dies genau funktioniert kann ich nicht sagen, BlackHat-SEOs wissen da sicher mehr.

Google sollte mehr gegen diese Manipulationen unternehmen, nicht nur wegen der Malware, sondern auch damit die Qualität der Suchergebnisse endlich wieder steigt und man nicht mit “Linkbuilding”-Mist zugemüllt wird.


Update: 12.05.2011 – 15:56 Uhr

Passend zum Thema: “Google Doodle führt zu Scareware-Seiten” (heise.de)
Was Heise dort schreibt ist nicht so ganz korrekt. Das eigentliche Problem hat nichts mit dem Doodle zutun, sondern mit der fehlerhaften Indexierung in der Bildersuche.

Erkennt der Safari einen Artikel, so zeigt er nach einem Klick auf den “Reader”-Button in der Adresszeile

oder der Tasten-Kombination

den Text und die Bilder ohne die Navigationselemente oder die Werbung der Seite an.

Aus der normalen Ansicht

wird mit der “Reader”-Funktion folgendes:

Die Readeransicht kann verkleinert/vergrößert, als E-Mail versandt (nur mit Mail, nicht mit Thunderbird), gedruckt oder geschlossen werden.

Ein über die Druckfunktion erstelltes PDF, enthält auch nur die wesentlichen Inhalte:



Werden die Verlage nun auch wieder frohlocken? Welcher Besucher wird sich nun noch die Reklame der Zeitungen und Magazine anschauen?

Was hat Apple für die nächsten Versionen für Überraschungen vorbereitet?

• Bilder und Videos gleich nach amerikanisch-puritanischen Anstandsregeln filtern?
• Bei Texten mit Badwords wird auf eine Warnseite von Apple weitergeleitet?
• Eigene Werbung in alle Websites einfügen?
• …

Was würden wohl für Kampagnen im Web angezettelt wenn Microsoft ähnliches tun würde? Apple ist mittlerweile schlimmer als Microsoft je war. Die Zeiten von Apple == gut und Microsoft == böse sind lange vorbei.

Wenn man sich das Video (apple.com) nach DEM Medienhype angesehen hat, dann ist man evtl. etwas enttäuscht. Genau betrachtet ist es ein iPhone im XXL-Format mit dem man nicht telefonieren kann. Aber es ist genau der Tablet-PC den ich immer im Kopf hatte, für den man keinen mitgelieferten Stift zur Bedienung braucht. Bei dem Marketing wird das iPad ganz sicher wieder einen Run auslösen.

Sobald ein Link per CSS (float: right) nach rechts ausgerichtet wird, funktioniert er mal oder mal nicht, grad so wie der Safari es mag – i.d.R. funktioniert er nicht.

Und hier der Quellcode dazu:
<a href="#">Testlink Nr. 1</a>
<a href="#" style="float: right;">Testlink Nr. 2</a>

Ob und wie man diesen Bug mit einem CSS-Hack austricksen kann weiß ich nicht, auf jeden Fall habe ich es nicht geschafft und auch noch keine Hinweise dazu gefunden.


Zum Teil wird auch behauptet, der Safari 4 würde den Acid3-Test (acid3.acidtests.org) komplett bestehen…

…auf meinem Äpfelchen aber nicht.


Und das Schließen von Tabs per Äpfelchen-W führt oft dazu, dass das ganze Fenster, inkl. aller Tabs, geschlossen wird. Auch ein sehr ärgerlicher Bug.


Auf Windows gibt es den CSS-Bug nicht, dort besteht er auch den Acid3-Test komplett und das Schließen von einzelnen Tabs per CTLR-W bereitet auch keine Probleme.

Wollen die Apfelmännchen mich dazu bringen wieder auf Windows umzusteigen?

Seit der Firefox in der 3ten Version mit den Schriftgrößen irgendwie nicht mehr das anzeigt wie der 2er und ich auf vielen Seiten, den Text größer oder kleiner schalten muß – trotz meiner Voreinstellung im FF, bin ich auf den Safari umgestiegen. Auch wenn ich schon seit knapp drei Jahren nur noch mit OS-X arbeite, habe ich den Safari vorher nie wirklich benutzt, da ich von Windows noch den Firefox gewöhnt war.

Vor ein paar Monaten habe ich schon einmal über einen Bug im Safari geschrieben. Ab der Version 3.2 mußte ich immer nach dem Start, das aktuelle Fenster schließen und ein neues öffnen, damit die Adresszeile auch richtig funktioniert.

Seit ein paar Tagen… (oder sind es schon Wochen… Altenheimer…) habe ich ein sehr sonderbares Verhalten des Safaris festgestellt. Ich bin ja ein paranoider Mensch und klicke immer artig auf “Abmelden” oder “Ausloggen”, nachdem ich eine WebSite verlasse, in der Hoffnung das niemand an Daten von mir kommt, die er nicht haben soll – nur der Safari hat da irgendwie seinen eigenen Kopp.

Wenn ich mich z.B. in meinen Google-Account einlogge, dann auslogge, etwas surfe und nach ein paar Minuten die Google-Suche aufrufe, dann sehe ich oben rechts meine E-Mail-Adresse und “Abmelden”, also bin ich wieder eingeloggt?! Erst dachte ich, naja, alde Leude, hab’ nur vergessen “Abmelden” zu klicken – Altenheimer! Aber nein, das läßt sich reproduzieren!

Dann habe ich mal alle Cookies gelöscht… und wieder! Dann schau ich mir die Cookies an… ALLE Cookies sind wieder vorhanden, obwohl die Meldung kommt, dass das Löschen aller Cookies nicht rückgängig gemacht werden kann – der Bugfari hat einen Weg gefunden.

Gestern habe ich die Beta4 vom Safari installiert, obwohl die 3er auch noch Beta war – zumindest auf meinem Mac. Der alte Bug, der mit der nicht richtig funktionierenden Adresszeile ist jetzt weg, aber der neue Bug ist noch vorhanden. Nur wenn ich den Safari beende, werde ich nicht mehr automatisch Eingeloggt und auch die automatische Cookiewiederherstellung wird nicht mehr ausgeführt.

Diesen neuen Bug konnte ich im 4er für Windows nicht feststellen, aber da haben die Apfelmännchen bestimmt noch andere Bugs versteckt. ;O)

“Apple schließt acht kritische Lücken in Safari für Windows” (heise.de)

Bislang steht dort aber nur Version 3.1.2 zum Herunterladen bereit.

Man muß auch Apple nicht alles glauben… nach dem Klick zum Download folgt:

Der Download lädt dann die Safari3.2Leo.dmg runter und über die Softwareaktualisierung bekommt man ebenfalls die neue Version. Unter Windows heißt sie zwar einfach nur SafariSetup.exe aber es ist ebenfalls die 3.2er.


Nur leider ist der neue Safari für den Mac nicht ganz fehlerfrei.

Nach dem Klick auf Links aus der Lesezeichenleiste wird die Adresszeile nicht aktualisiert, beim weiteren Surfen auf den WebSites wird sie ebenfalls nicht aktualisiert und manche Links auf den WebSites selber funktionieren leider nicht.

Benutzt man Links aus den Lesezeichen (nicht der Lesezeichenleiste) so öffnet sich ein neues Fenster?! Aha! und dort funktioniert dann die Aktualisierung der Adresszeile wieder und auch alle Links auf den WebSites. Also Fehler gefunden und bis zum nächsten Update: Safari starten, erstes Fenster schließen und neues Fenster öffnen.

Sehr lästig dieser Bug, er tritt nicht unter Windows auf, nur unter OS-X.

Erst hatte ich nur das Update über die Softwareaktualisierung gemacht und danach noch einmal das komplette Pack installiert. Leider hat die Komplettinstallation den Fehler auch nicht behoben, da muß ich wohl bis zum nächsten Update mit diesem lästigen Bug leben…

Nicht nur Bananen reifen beim Anwender, auch manche Äpfel. ;O)

Bei der Inspektion von WebSites benutze ich u.a. gerne die Erweiterung HTML Validator von Marc Gueury. Mit ihr hat man die Möglichkeit sich im Quellcode einer WebSite HTML-Fehler anzeigen zu lassen.

Der HTML Validator bietet zum einen eine kleine Grafik als Übersicht:

Und das Quellcode-Fenster ist dreigeteilt und zeigt neben dem Quellcode auch die Art des Fehlers an:

Leider funktioniert diese Erweiterung (noch) nicht im 3er Firefox auf meinem Mac, weil mein Mac noch keinen Intel-Prozessor hat.

Ich hatte mir eine Kopie des alten Firefox und aller dazugehörigen Dateien angelegt, für den Fall das nach dem Update auf Version 3 der Firefox irgendwie nicht mehr funktionieren sollte. Da der 3er selber gut funktioniert, nur eben leider nicht alle Erweiterungen, habe ich nach einer Möglichkeit gesucht beide Versionen vom Firefox gleichzeitig benutzen zu können.

Einmal gibt es die Möglichkeit mit dem Profilmanager jeweils ein Profil für jede Version anzulegen. Man muß dann immer beim Start des Firefox ein Profil auswählen.

Den Profilmanager kann man über den folgenden Befehl aktivieren:
/Applications/firefox.app/Contents/MacOS/firefox -P

Ich habe versucht den Profilmanager nur in der alten Firefoxversion zu aktivieren, aber leider kratzt den 3er das nicht und fragt dann auch immer nach, welches Profil ich benutzen möchte. :O(

Wenn man nun aber fast nur mit dem 3er surft und immer das gleiche Profil dafür benutzt, dann ist der Profilmanager irgendwie lästig. Wem das ebenfalls lästig ist, aber trotzdem manchmal den 2er Firefox benutzen möchte, der hat mit Multifirefox ein gutes Programm zur Hand.

Multifirefox erkennt das ich mehr als einen Firefox installiert habe und er zeigt alle FF-Profile an. Nur wenn ich den 2er Firefox benutzen möchte, starte ich Multifirefox und wähle den 2er und das dazugehörige Profil aus.

Endlich kann man wirklich unterwegs surfen, wenn… ja wenn UMTS denn auch Verfügbar wäre.

Apple wird solche Meldungen wie “Umfrage: Telekom droht massive Abwanderung von Kunden” (wiwo.de) sicher aufmerksam beobachten und sich Plan-B zurecht legen und weitere Mobilfunker für den Vertrieb suchen. Leider ist die Netzabdeckung von UMTS recht schlecht, unabhängig vom Mobilfunker.

(Ich habe die Farben etwas angepaßt, damit man die UMTS-Bereiche besser erkennen kann.)

Wenn man nun alle drei (O2 habe ich ausgelassen, da sie keine Übersichtskarte anbieten.) übereinander legt, so bleiben immer noch große Bereiche weiß – also ohne UMTS.

Und wo wohne ich? Is ja wieder klar! In einem der weißen Flecken! Na dann werde ich mir wieder kein iPhone zulegen und warte bis die Satelliten-Version rauskommt. ;O)

1. Bug:

Vor Monaten hatte ich darüber berichtet das in Spaces immer wieder Fenster von Desktops verschwinden und ich deshalb den altersschwachen Desktop Manager benutzen muß. Dieser Bug scheint weg zu sein, zumindest konnte ich ihn noch nicht wieder orten.

2. Bug:

Auch seit dem Sprung des Leo auf meinen Mac hatte ich Probleme mit dem Ruhemodus. Ich habe ein Grafiktablett, welches ich je nach Bedarf per USB mit dem Mac verbinde. Sobald ich ihn aus dem Ruhemodus wieder erweckte erkannte er das entweder noch angeschlossene oder erst dann eingestöpselte Tablett nicht. Es mußte dann immer ein Neustart erfolgen, damit ich mit dem Tablett arbeiten konnte. Auch dieser Bug ist verschwunden.

Bisher war es auch so das beim Ausschalten bereits beide Monitore kein Bild mehr anzeigten, aber der Mac selber noch ca. eine Minute weiterlief. Jetzt gehen die Monitore aus und nach ca. 1 bis 2 Sekunden auch der Mac.

Das Update hat mehr als nur Sicherheitslöcher gestopft, das ist sicher. :O)

…ich würde eher sagen, da hat sich einer bei T-Mob gedacht “Der Tarif ist zu einfach, da versteht der Kunde sofort wie er abgezockt wird – das müssen wir ändern!”

Der alte iPhone-Tarif:

Der neue iPhone-Tarif:

Das iPhone hat vorher mindestens 83 Euro pro Monat gekostet? Hä?

Da muß man wohl davon ausgehen daß das iPhone den Kunden bisher zu teuer war und T-Mob sehr enttäuscht über die bisherigen Verkaufszahlen ist. Nur 12 Tage nach dem Verkaufsstart…

(Das iPhone-Tarif-PDF wurde bereits am 21. November erstellt.)

… schrauben die T-Mobs schon an dem Preis und senken im günstigsten Tarif die monatliche T-Spende von 49 Euro auf 49 Euro – T-Mob kommt bei der Rechnung “auf eine satte Ersparnis von bis zu 40%!”. ;O)

Eine Ergänzung zum Verständnis:

“1) Vergleich gegenüber einzelnen Tarifkomponenten, die für eine vergleichbare Nutzung mit einem anderen Mobilfunkgerät bei T-Mobile anfielen.”

Wenn ich T-Mob wäre hätte ich einen Tarif von vor 5 Jahren zum Vergleich herangezogen, dann wäre die “satte Ersparnis” noch höher ausgefallen. ;O)

Update 4. Dezember:

T-Mob hat nochmal nachgerechnet, nun kommen sie “auf eine satte Ersparnis von bis zu 44%!”. ;O)