Fake Downloadseite von eMule P2P

#1 Zumindest das schreibt man auf h**p://www.emule.com/de/
Wenn ich aber unten rechts auf Software klicke und mir ein Programm runderlade wird mein Rechner infiziert mit Tojaner und Viren

http://www.virustotal.com/nl/analisis/2047844a0923923d5d76ef71412e6dd2b17b925c8d5ef5c083954a175e3eee91-1254070220
http://www.virustotal.com/nl/analisis/4a81ca34fc19f4730ec95bd9b6759bd3dc299f6d593d62cfb8ebef1fafd3feca-1254170019
http://www.virustotal.com/nl/analisis/161057e433a44090e51513dc6be97229e72d220b4aeb4aa7e0632589c1b14166-1254170371
http://www.virustotal.com/nl/analisis/07787b85d307e2f685bc963306ae228823e2b5874d5823ca2208c826b2c72be9-1254170580
http://www.virustotal.com/nl/analisis/76bb785134fdc860358d325f05a421c828d10254d55f025b024a590129cbd7b6-1254170927
http://www.virustotal.com/nl/analisis/79d928b9753f3625bc0692abc1d15dbdfbc4233328c346f11a2d94013ec92745-1254171086
http://www.virustotal.com/nl/analisis/e94d64fbf31f6d8b672f77efd33bf3fd72de9aad1d40f3c2aab919df6e97481a-1254171380
http://www.virustotal.com/nl/analisis/73b76852cf37593df54c327c69ce1a63bcdfca2c0589fa236233bb7b279e6870-1254171571
http://www.virustotal.com/nl/analisis/34859b1249bb7e522510815c49489fd9889f52c59ca6cbc72c8a266d408fcd7b-1254171805

Seiten
h**p://software.emule.com/
h**p://de.software.emule.com/
h**p://fr.software.emule.com/
h**p://es.software.emule.com/
h**p://it.software.emule.com/
h**p://pt.software.emule.com/
h**p://nl.software.emule.com/

h**p://www.emule.com/de/

Also doch nicht die Beste

Die falsche Seite


Und die richtige

__________
MfG Argus

#2 wird da nicht einfach nur die Startseite des Browsers geändert, zumindestens nach der Meldung von Virustotal?
das wäre nicht schön, aber ja nun auch nicht gefährlich.
__________
darknight, die wo anders Heike ist.

#3 Warum nennt Kaspersky diese Infektion ein Trojanhorse,weil Trojaner nie alleine kommen
Warum nimmt z.b Kaspersky diese Infektion in seine Database auf wenn es nur die Startseite aendert
__________
MfG Argus

#4 Deswegen sollte man eMule auch nur von der Original-Seite herunterladen: http://www.emule-project.net
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5

Zitat

Argus postete
Warum nennt Kaspersky diese Infektion ein Trojanhorse,weil Trojaner nie alleine kommen
Warum nimmt z.b Kaspersky diese Infektion in seine Database auf wenn es nur die Startseite aendert

weil Kaspersky sich wichtig und unverzichtbar machen möchte?
man ist ja auch nicht infiziert wenn SuperAntiSpyware einen entsprechenden Cookie entdeckt.
__________
darknight, die wo anders Heike ist.

#6 Ich habe keine kontakte mit Kaspersky,nur mit Malwarebytes' Anti-Malware

Zitat

weil Kaspersky sich wichtig und unverzichtbar machen möchte

28-9-2009 17:39:09
mbam-log-2009-09-28 (17-39-09).txt

Scan type: Volledige Scan (C:\|)
Objecten gescand: 142935
Verstreken tijd: 15 minute(s), 42 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 5

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
C:\Data Download\Infected\guitar-pro-5-2i.exe (Trojan.StartPage) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89F7B7C5-8C19-46D9-9F55-0607ADADC529}\RP19\A0002397.exe (Rogue.TotalSecurity) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89F7B7C5-8C19-46D9-9F55-0607ADADC529}\RP21\A0002914.exe (Rogue.TotalSecurity) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89F7B7C5-8C19-46D9-9F55-0607ADADC529}\RP21\A0002913.exe (Rogue.TotalSecurity) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{89F7B7C5-8C19-46D9-9F55-0607ADADC529}\RP21\A0002915.exe (Rogue.TotalSecurity) -> Quarantined and deleted successfully.
__________
MfG Argus

#7

Zitat

Gool postete
Deswegen sollte man eMule auch nur von der Original-Seite herunterladen: http://www.emule-project.net

THIS!

Bloß, was will man machen?
Die Kiddys (und nicht nur die) hören auf dem Schulhof etwas von emule... schmeissen ihre Suchmaschine an.. und landen dummerweise auf einer .com von der sie nun annehmen, die "echte" Seite gefunden zu haben.
Zumal das Logo ja täuschend echt nachgemacht ist.
Nächste Problem sind ja dann die falschen Server, wo Gott weiß wer mitschneidet, was da so an traffic drüber läuft.
Siehe dazu : http://de.wikipedia.org/wiki/EDonkey2000#manipulierende_Server

Ist eine geschickte Masche der Scammer und ich wette, es fallen da täglich und immer wieder Leute drauf rein.

Habe dazu aus dem letzten Jahr etwas im offiziellen Forum gefunden:
http://forum.emule-project.net/index.php?showtopic=136464

Das Problem ist nicht neu.

Und nein, ich emule nicht.

TS