**UPDATE 4** Der gute rAcHe kLoS hat für uns mal genau nachgesehen was hier gemacht wurde und das Ergebnis ist NICHT SCHÖN!
- In der Ebay-Auktion wurde Code eingeschläust, der per JavaScript eine externe Seite in einem Iframe lädt.
- Auf dieser externen Seite wird wiederum per JavaScript ein JavaApplet erzeugt, dass unbemerkt eine Datei namens “explorer.exe” auf dem Computer installiert. Die Datei heisst auf dem System allerdings nicht mehr explorer.exe sondern erhält einen zufälligen Namen.
- Diese Exe speichert dann munter Tastatureingaben und und öffnet verschiedene Ports auf dem System.
- Laut Virustotal.com gibt es nur eine Hand voll Virenscanner die die Datei als Virus erkennen. Hier der Link zum Ergebnis.
**UPDATE 4 ENDE**
**UPDATE 3** Da Tobi hier wirklich ausgesprochen verdächtigen Code im Quelltext der Auktiom entdeckt hat, raten wir jedem, der sich diese Auktion angeschaut hat, seinen Virenscanner auf den neuesten Stand zu bringen und einen Vollscan über sein System laufen zu lassen.
**UPDATE 2** Ich habe gerade mit Herrn Adam persönlich telefoniert und folgende Information erhalten:
- Der Ebay Account wurde gehackt und er hat selbst keinen Zugriff mehr darauf.
- Ebay wurde bereits informiert und arbeitet an dem Problem.
- Derzeit ist davon auszugehen, dass allen Käufern als Paypal Konto das Konto von Herrn Adam angezeigt wurde. Die Zahlungen sind bei Ihm eingegangen und werden natürlich von Ihm zurückerstattet!
- Wer per Nachnahme bestellt hat, sollte eventuelle Lieferungen in keinem Fall beim Postboten bezahlen!
**UPDATE 2 ENDE**
**UPDATE** Es mehren sich inzwischen die Stimmen, die dieses Angebot für unseriös halten. Also der im Impressum der Auktion angegebene Verkäufer ist real und hat sogar in Coesfeld einen lokalen Elektrohandel.
Paypalzahlung sollte man in diesem Falle nur an die im Impressum angegebene E-Mail Adresse leisten. Ggf. kann man vorher telefonischen Kontakt mit dem Verkäufer aufnehmen. Um ganz sicher zu gehen, bietet sich hier die persönliche Abholung an. **ENDE**
Der Ebayhändler akkufix – mit 32,000 Bewertungen, davon 99,9% positiv – verkauft gerade Sony PlayStation 3 Slim (250 GB) für nur 179,- Euro inkl. Versand!
Der Preis ist unglaublich! Und es handelt sich hierbei um Neuware! Es ist Insolvenzware der Consultone Discount GmbH.
Lieferumfang: Die Playstation 3 Konsole mit 250GB Festplatte, Dual Shock Controller, Stromkabel, Mult-AV-Kabel, Mini-USB Kabel und Anleitung!
HINWEIS! In der Artikelbechreibung schreibt der Händler, dass er nur Bezahlung in Bar bei Abholung oder Nachname akzeptiert! Bei diesen tadellosen Bewertungen denke ich verschmerzbar! Es stehen aber auch Paypal inkl. Treuhandservice zur Auswahl! <– Ebay Käuferschutz inklusive!
alex
Ich war mit Firefox auf besagter Ebay-Seite. Avira hatte nicht angeschlagen. Vollständer Scan mit avast ergab auch keinen Fund. Puh, anscheinend Glück gehabt. Aber echt eine Sauerei, dass Ebay die Auktion noch so lange laufen lassen hat nachdem Herr Adam den Vorfall gemeldet hat und dass es allgemein möglich ist, solch einen Schadcode in einer Auktion unterzubringen.
Hi Martin,
finde ich gut, dass du dich meldest.
Ist echt übel die ganze Sache. Hat sich Ebay schon gemeldet, warum die so lange gebraucht haben zum Sperren des Accounts?
Hallo,
ich bin der, dem dies tollen Angebote untergejubelt wurden.
Mein account akkufix wurde gehackt und mächtig bearbeitet.
Zuerst wurden GeForce Grafikkarten eingestellt. Nachdem 2 verkauft waren, ist mir dies aufgefallen. das Angebot konnte ich noch löschen.
Um 18:15 habe ich bei ebay erklärt, daß jemand bei mir Artikel einstellt.
Weitere Anrufe folgten.
Danach kamen die Playstations und IPads. Zudem wurden 8 weitere “meiner” Artikel “bearbeitet”. Ich hatte zu dem Zeitpunkt keinen Zugang mehr.
Intern wurden passwörter und emailadressen geeändert.
Ich konnte nur noch mit anschauen, was dort abging.
Da treten einem die Nervenbahnen durch die Haut.
Es wurden jedoch Gott sei Dank keine Anstrengungen unternommen, Gelder umzuleiten. Wenn die Zahlungen in Tief-Nigeria oder sonst wo verschwunden wären, nicht auszudenken. Bei einem 6-stelligen Umsatz hätte ich wohl mein Sparschwein mit dem hammer bearbeiten müssen:)
Alle Zahlungen sind bei mir angekommen und wurden bereits am nächsten Tag zurückgesendet. (12 Stunden Arbeit)
Ich selber hatte mit dem, was dort abgelaufen ist in keinster Weise etwas zu tun. Im Gegenteil, ich hätte und habe alles unternommen, um diesen Irrsinn zu stoppen.
Ich empfehle ausdrückliche bezüglich Virenprüfung den Beitrag # 55 zu beachten.
Martin Adam alias akkufix
So!
Also ich war mit Firefox unterwegs, hatte die Java Version 6 Uptdate 15.
Hab zuerst mit Antivir nix gefunden, und dann mit der hier von Tobi verlinkten Version von Avast einen vollständigen, langsamen (!!) Systemscan gemacht, und die Datei gefunden.
Löschen hat erfolgreich geklappt! Die Datei hat laut Avast den Gefährlichkeitsgrad hoch, und trägt (wie schon erwähnt) einen zufälligen Namen!
Danke an Tobi und an die vielen hilfreichen Links hier! Ich finds gut das sich hier alle versuchen gegenseitig zu helfen.
Besonders ans Herz legen kann ich euch hier noch den Link und das Kommentar von @Stuebi. Betroffen sind nur Java-Versionen bis Version 6 einschließlich Update 16. Update 17 schließt die Sicherheitslücke!
@Schnappi: Mit Linux bist Du definitiv auf der sicheren Seite, mit einem Mac (und allen anderen unixoiden Systemen) übrigens auch …
also ich hatte java 6 Update 16
& avast hat nix gefunden
avast finden diesen ja laut tobi zuverlässig
na da bin ich aber foh ein linux system zu haben, da müsste ich auf der sicheren seite sein
Ich möchte das erstmal mit Vorsicht genießen,
aber vielleicht liegt es an der Java-Version, warum einige infiziert sind, ander nicht.
Angeblich sind alle Java Version von 5 bis einschließlich 6 Update 16 betroffen.
Quelle: http://community.ebay.de/forum/ebay/thread.jspa?threadID=358570&start=120&numResults=30
Dabei soll folgendes ausgenutzt worden sein: http://www.heise.de/security/meldung/Java-6-Update-17-schliesst-mehrere-Sicherheitsluecken-849443.html
Vielleicht könnt ihr die Meldung ja irgendwie bestätigen helfen.
Ich wäre dann mit Java 6 update 20 auf der sicheren Seite ;-)
Ich war auch gestern auf der Seite.
FF 3.6.3 / Win7 Prof
Avira und Avast haben nichts bei mir gemeldet (außer Dinge, von denen ich weiß was es ist und das es keine Gefahr darstellt).
Die Frage, die sich mir stellt ist: Handelt es sich bei den bisher von manchen Usern gefunden Trojanern um den “eBay-Trojaner” oder sind es Relikte früherer Infizierungen?
Firefox user scheinen doch davon befallen zu sein.
Ich zitiere: Fireforx 3.6.3, Win 7 Prof und gestern die ebay seite besucht, heute mal Kaspersky Anti Virus 2010 Trial runtergeladen und siehe da, er findet den trojaner 4x
Ich habe mit FireFox die Seite aufgerufen,ein Angriff hat auf jeden Fall stattgefunden, aber wie beschrieben hat Kaspersky die Seite rechtzeitig geblockt und im Protokoll den Ebay Trojaner Trojan.Script.Iframer…u.s.w. als gefunden protokolliert.
Also der Virenscanner (Gdata) hat bei mir auch was gefunden mit Chrome. Ganz komisches ding
Bitdefender findet bei mir einen Trojaner names Virtool.5943 (A0052542.exe und *543.exe) Hat diese entfernt.
scheinbar sind wohl wirklich nur IE-Nutzer betroffen. Kann sich mal ein Firefox-Nutzer melden, der einen Trojaner fand?
wenn er unentdeckt ist, bringts dir auch nix die passwörter auf nem andern pc zu ändern. außer du würdest den infizierten pc nie mehr nutzen.
War gutgläubig auch auf der Seite, doch bevor die Seite aufgebaut wurde, hat Kaspersky Internet Security 2010 Alarm geschlagen und die Seite automatisch blockiert. Jetzt steht im Kaspersky Protokoll, dass der o.g. Virus gefunden wurde. Eine anschließender Vollscan verlief negativ, dennoch bleibt ein mulmiges Gefühl…
Sorry, hab keinen Plan von den Viren. Aber wenn ich jetzt einen nichtentdeckten Trojaner auf dem Rechner habe und jetzt meine ganzen Passwörter ändere, sieht man das dann nicht auch unter Umständen? Also lieber auf einem anderen PC Passwörter ändern?
also ich habe jetzt antivir und avast! komplettes system durchchecken lassen und nichts gefunden. Ich war mit FF auf der Seite des vermeintlichen Ipads-Angebots. Bin ich damit auf der sicheren Seite oder würdet ihr noch weitere Maßnahmen treffen?
Ich habe mir jetzt nicht alles durchgelesen, aber für mich hört sich wie einen Ableger von ZBOT an. Da kann ich allen nur raten, seit dem ihr auf der Seite ward, alle Passwörter zu ändern, auf Seiten, auf denen ihr Euch seit dem eingeloggt habt.
paypal
ebay
webmail
amazon
banking
etc…..
das wurde wahrscheinlich alles mitgeschrieben!!!
Das wäre wohl denke ich das beste. Nur wie soll ich den Virus / Trojaner dann testen. Soll ich ihn etwa dann herunterladen?
War mit dem IE unterwegs. Bitdefender hat das Ding gefunden – Firewall hat Alarm geschlagen. Bitdefender konnte ihn leider nicht entfernen. Das habe ich händisch gemacht.
@Alle die nicht sicher sind, ob Ihr System befallen ist, ich hab mehrere Tests in virtuellen Maschinen gemacht, als zuverlässig hat sich bei mir die aktuelle, kostenlose Version von Avast herausgestellt. Download gibts HIER
Wenn Interesse besteht, kann ich den Trojaner auch gerne zum Download bereitstellen. Dann könnt Ihr selber testen, ob euer Antivirenprogramm Ihn erkennt
War gestern mit Firefox unterwegs, gekauft habe ich auch, die Zahlungsabwicklung (über diesen Dreambot-Link) habe ich nicht durchgeführt.
G Data Antivirus 2011 – kein Fund
EST NOD32 Antivirus – kein Fund
Habe jeweils mit den beiden aktuellen Testversionen der Programme (nebst aktueller Definitionen) einen kompletten Systemscan durchgeführt.
Kann es sein, dass der Trojaner so super programmiert ist, dass ihn keines der beiden Programme findet? Oder kann ich davon ausgehen, dass mein System virenfrei ist?
Beimir findest Avast immer komische *.tmp Dateien.
Sind das wohl diese Trojaner von denen hier die Rede ist ?
@klaus: kannst Du nicht lesen? Hat er doch schon geschrieben!! Und er wurde GEFRAGT womit er unterwegs war…
Oh man….
Der IE ist auch anfälliger für Exploits, insbesondere, da Ebay IE-Apis benutzt.
Deswegen tun sich Safari, Firefox und Opera mit Ebay recht schwer, insbesondere auf dem Mac.
Hi zusammen,
hab mein System nun vollständig mit GData gescannt. Es wurde nix gefunden. Kann ich nun mein System weiter verwenden, oder sollte ich es vollständig neu installieren? Was sagen die Experten….
Nebenbei: Ich war mit dem IE8 und Win7 64 Bit auf der Ebay-Seite.
@SIMON: schön, das Du mit Chrome unterwegs bist. Hast Du nun einen Trojaner auf Deinem Rechner oder nicht?
Ich bin mit dem Fahrrad da….
Also ich bin mit Chrome unterwegs gewesen.
Ich weiss bisher auch nur von Fällen mit IE wo der Exploit erfolgreich war (was allerdings nichts heissen muss).
Die Freie Version von Avast findet das Ding übrigens mittlerweile recht zuverlässig.
Ich kann immernoch nicht ganz fassen, dass man über Ebay so leicht Schadcode verteilen kann. Ich hoffe die reagieren drauf und machen die Lücke dicht, ich persönlich könnte gut damit leben, wenn die Beschreibungen dann nicht mehr Klickibunti sind.
Gdata kein Fund
Avira…kein Fund
avast…kein Fund
glück gehabt oder was könnte der Grund dafür sein?
& ich war mit Firefox drauf …
Hatte ein iPad bei dem Anbieter bestellt. Geld wurde inzwischen von Papa wieder zurück überwiesen. Scannen tue ich den Rechner nach Feierabend
Mein stand:
Vorweg erstmal, mit firefox auf der ebay auktion gewesen (nichts gekauft).
Avira Antivir (kostenlose version) fand nichts.
ESET NOD32 (kostenlose version) fand auch nichts.
G-Data Antivirus 2011 (kostenlose version) Durchlaufen lassen mit beiden engines fand auch nichts.
simon mit welchem browser warst du auf der ebay auktion?
also ich hatte bis gerade eben Norton 2010 drauf der ihn nicht gefunden hat. Ich habe mir jetzt Gdata 2011 antivir gehohlt die demo für 30 Tage. Und siehe da er hat ihn direkt geschnappt.
Also meine Empfehlung Gdata 2011 weil der verschiedene Virendatenbanken abruft. Wer nicht kaufen will die Demo für 30 Tage Kostenlos
@andgo: Ja, Antivir hat bei mir nichts gefunden. Aber ich bin mir sicher, dass es da ist ;).
Hat einer einen Tipp welches Antivirus-Programm diese Datei findet?
Bezüglich des UPDATE4: Deßwegen habe ich VON EINEM ANDEREN RECHNER AUS auch das PayPal Passwort sofort geändert. Und das würde ich auch jedem Raten….
Ein anderer user schrieb:
“Aaaalso:
Ich bin mitm Firefox rein und hab jetzt mal Trend Micro drüberlaufen lassen (nicht einer der angegebenen 6 ;) ). Ich habe 2 Trojaner gefunden (und auch gelöscht), d.h. es liegt weder an Firefox/IE noch kann man den Trojaner nur mit bestimmten Programmen finden ;)”
hmm
ich hab sämtliche Browser-Auslagerungen (Cookies, temp. Dateien, etc.) gelöscht, Antivir und Avast haben anschließend nichts gefunden.
Maik schreibt:
25. Mai 2010 um 23:22
Es gibt ja nicht nur Paypal , sondern auch den Ebay-Käuferschutz! Daher ist das mit dem Geld eh kein Problem!
……………….
Ich darf daran erinnern , es gibt keine garantie auf pillepalle-hilfe , das meinen die meisten nur! Mal paypal agb genau lesen, paypal kann zahlen, muss aber nicht, riesen augenwischerei!
Und der eBay-käuferschutz selbst ist lange abgeschafft! MfG
Ja, nur die virenscanner die hier aufgezählt wurden finden etwas
http://www.virustotal.com/de/analisis/dc42a4352a2c96771437a9813602c4fddc211ac661415680c65f0947cc409c04-1274455666