Verdächtiger Link wird im Hintergrund geöffnet // Ad popups

In das Unterforum "Erledigt" werden alle Beiträge geschoben, die erledigt sind, bspw. bei behobenen Bugs.
ComictypX
Spender
Beiträge: 5
Registriert: Fr 8. Aug 2014, 11:10
Hat sich bedankt: 2 Mal
Danksagung erhalten: 1 Mal

Verdächtiger Link wird im Hintergrund geöffnet // Ad popups

Beitrag von ComictypX »

Hallo,

mir ist wieder einmal etwas in zusammenhang mit KIS 2017 aufgefallen. Dieses Mal hat es den MFBot daran gehindert einen Link zu öffnen und etwas herunterzuladen. Im Anhang mal der Kaspersky und Bot Log.

Botversion: 4.6.5.0
Windows Version: 10.0.16299
Kaspersky Version: 17.0.0.611 (h)
Wann/Wo: ziemlich direkt nach System/Botstart

Der Bot hat keinen Errorlog angelegt und .Net Fehler liegen auch keine vor.

BotLog vom relevanten Zeitraum
SPOILER
20171114 16:30:32 Info Core Logging in...

20171114 16:30:32 Info Core Logging in...

20171114 16:30:33 Info RequestResponse Account wurde eingeloggt.

20171114 16:30:33 Info RequestResponse Account wurde eingeloggt.

20171114 16:30:35 Info Guild Prüfe auf Gildenkämpfe...

20171114 16:30:35 Info Guild Prüfe auf Gildenkämpfe...

20171114 16:30:39 Info Fortress 657856 Erfahrung abgeholt.

20171114 16:30:39 Info Fortress 439219 Erfahrung abgeholt.

20171114 16:30:40 Info Fortress 33442 Stein abgeholt.

20171114 16:30:40 Info Fortress 21740 Stein abgeholt.

20171114 16:30:40 Info Fortress 100313 Holz abgeholt.

20171114 16:30:40 Info Fortress 66884 Holz abgeholt.

20171114 16:30:41 Info Fortress Du hast dir in der Festung einen neuen Gegner gesucht.

20171114 16:30:41 Info Fortress Du hast dir in der Festung einen neuen Gegner gesucht.

20171114 16:30:46 Info CityGuard Stadtwache beendet. Verdientes Gold: 509148

20171114 16:30:46 Info CityGuard Stadtwache beendet. Verdientes Gold: 163110

20171114 16:30:48 Warn Arena Die zur Verfügung stehenden Arenagegner entsprechen nicht dem angegebenen Minimum an Gewinnchance

20171114 16:30:48 Warn Arena Die zur Verfügung stehenden Arenagegner entsprechen nicht dem angegebenen Minimum an Gewinnchance

20171114 16:30:48 Info Dungeon Du hast einen erfolglosen Angriff auf Der 13. Stock gewagt.
Altes Level: 10 - neues Level: 10

20171114 16:30:48 Info Dungeon Spieler_Name(8211185) <=> Gegner_Name(33202800)
1263253<=>33202800
-1852535<=>24693898
Restleben: -1852535 <=> 24693898 (74,37%)


20171114 16:30:48 Info Pet Du hast einen erfolglosen Angriff auf das Pet-Dungeon Wasser gewagt.
Altes Level: 11 - neues Level: 11

20171114 16:30:49 Info Pet Walruphin (285725) <=> Separd (165048)
209075 <=> 165048
110525 <=> 145631
50300 <=> 126214
-20875 <=> 102914
Restleben: -20875 <=> 102914 (62,35%)


20171114 16:30:49 Info CityGuard Der Account wurde für 1 Stunde(n) auf Stadtwache geschickt.

20171114 16:30:50 Info CityGuard Der Account wurde für 1 Stunde(n) auf Stadtwache geschickt.
Kaspersky Log zum Fund
SPOILER
14.11.2017 16.30.38 Download wurde verboten. [URL DER PHISHINGSEITE, ENTFERNT] Objektname: HEUR:Trojan.Script.Generic Objekt: [URL DER PHISHINGSEITE, ENTFERNT] Programm: Magical Fidget Bot Objekttyp: Trojanisches Programm Zeitpunkt: 14.11.2017 16:30
14.11.2017 16.30.38 Ein Objekt (Datei) wurde gefunden. [URL DER PHISHINGSEITE, ENTFERNT] Objektname: HEUR:Trojan.Script.Generic Objekt: [URL DER PHISHINGSEITE, ENTFERNT]2 Programm: Magical Fidget Bot Objekttyp: Trojanisches Programm Zeitpunkt: 14.11.2017 16:30
Ist das eine euch bekannte URL? Warum ruft der Bot die auf?

Vielen Dank im Voraus!

Liebe Grüße
ComictypX
Zuletzt geändert von Robin am Di 14. Nov 2017, 17:35, insgesamt 1-mal geändert.
Benutzeravatar
Robin
Administrator
Beiträge: 1723
Registriert: So 30. Jun 2013, 18:12
Wohnort: Rheinland-Pfalz
Hat sich bedankt: 303 Mal
Danksagung erhalten: 354 Mal

Re: Verdächtiger Link wird im Hintergrund geöffnet

Beitrag von Robin »

Hallo ComictypX,
danke dir für deine Meldung! Das ist tatsächlich sehr beunruhigend, logischerweise kennen wir die URL nicht (die ich zur Sicherheit auch mal rausgenommen habe, auf sowas fallen doch mehr Menschen rein als man glauben mag).
Der Bot würde von sich aus eine solche Adresse auch nicht aufrufen, ich kann mir maximal vorstellen dass sich da ein anderes Programm dazwischengeklemmt hat, ich bin aber auch nicht der Sicherheitsexperte.

Hast du den Bot von unserer Seite heruntergeladen oder über eine Drittquelle?

Grüße,
Robin
MFBot-VersionCode-Zeilen*In Dateien*Letzte Version
MFBot 1.5.x64851Juli 2013
MFBot 2.x1436316März 2014
MFBot 3.x2209536März 2015
MFBot 4.x55242241Juli 2018
MFBot 5.x66000440Tbc
*Ohne automatisch generierten Designer-Code
Kimberly
Beiträge: 3
Registriert: Do 16. Nov 2017, 14:12
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Verdächtiger Link wird im Hintergrund geöffnet

Beitrag von Kimberly »

Das ist mir gestern auch passiert, sogar der reguläre Windows Defender hat es blockiert.
With best regards,
Kimberly~
blablabla
Spender
Beiträge: 118
Registriert: Mi 24. Sep 2014, 13:14
Hat sich bedankt: 21 Mal
Danksagung erhalten: 17 Mal

PopoUp with Ad

Beitrag von blablabla »

Hi,
do you have insert in the beta client the popup with ad?
The popup have the same font and the "dark theme" of mfbot and it pop after that i launch the bot. so i'm pretty much sure that is from this app.
Zuletzt geändert von blablabla am Fr 17. Nov 2017, 20:25, insgesamt 1-mal geändert.
F0restbear
Moderator
Beiträge: 1139
Registriert: Mo 8. Jun 2015, 17:36
Hat sich bedankt: 39 Mal
Danksagung erhalten: 214 Mal

Re: PopoUp with Ad

Beitrag von F0restbear »

Hey,
I believe you are mistaken. The devs wouldn't implement that without telling us. And I've also been using the bot since 3.x and have never encountered an ad popup from the bot :D
Maybe you should check your computer but I'm sure that it's not related to the bot.

Regards
F0rest
Viele Grüße / Best regards

F0restbear
blablabla
Spender
Beiträge: 118
Registriert: Mi 24. Sep 2014, 13:14
Hat sich bedankt: 21 Mal
Danksagung erhalten: 17 Mal

Re: PopoUp with Ad

Beitrag von blablabla »

F0restbear hat geschrieben: Fr 17. Nov 2017, 20:11 The devs wouldn't implement that without telling us.
I agree with you on this, and is the reason why i'm wirting here. like i wrote it has the same UI of the dark theme. that i don't have on any other window on the pc.

I close the popup before a screenshoot of it :P
Dateianhänge
Cattura2.JPG
Cattura2.JPG (9.58 KiB) 6444 mal betrachtet
Benutzeravatar
Robin
Administrator
Beiträge: 1723
Registriert: So 30. Jun 2013, 18:12
Wohnort: Rheinland-Pfalz
Hat sich bedankt: 303 Mal
Danksagung erhalten: 354 Mal

Re: Verdächtiger Link wird im Hintergrund geöffnet

Beitrag von Robin »

Abend zusammen!
Da der Thread von blablabla thematisch mit dem der anderen gemeldeten Verhaltensweisen zusammenpasst, habe ich die Threads mal zusammengelegt.

Zunächst: Nach wie vor würden wir sowas nicht einbauen, erst recht nicht ohne euch Bescheid zu geben - weder in einer Beta noch in einer Release.
Dass sich das Fenster offenbar auch aus dem Bot heraus öffnen lässt, ist das noch beunruhigender als vorher angenommen, da wir zum aktuellen Zeitpunkt ehrlich gesagt nicht wissen, was es sein kann.
Wir haben mittlerweile eine Kompromittierung der Anwendung an sich ausgeschlossen, die Dateien die euch vorliegen sind die, die bei uns aus dem Compiler und dem Obfuscator gekommen sind, es sei denn, jemand hätte bei euch die Datei auf dem PC verändert, wovon ich nicht ausgehe bei der Masse.
Wer das trotzdem mal kontrollieren will, die Hashes lauten wie folgt:

MFBOT 4650
CRC32: 520410B8
MD5: 99ABD046CF1850C60764655E25002ECA
SHA-1: B55B1E5441170232DFD35EEE30F90C58A3036CF6

MFBOT 4650 KONSOLE
CRC32: A61A5CCE
MD5: 84D922617CA9AC5B614E10E7EECC3B4A
SHA-1: 74059997402F91E02F97F1A45EB9487B3BCEB519

MFBOT 4658 BETA
CRC32: CA401759
MD5: AA184982268BB83116B6B43739ED374D
SHA-1: 0F303D2F3EDCC02A13659B69BE0C0014E3706D7A

MFBOT 4659 BETA
CRC32: A4F8CB67
MD5: CC82879DC54F957FB5B7A6728FCBB5CF
SHA-1: 6F7F881BE3E878C675AAA318C6855926FB6E290E

Die Idee, dass die Codebasis verändert wurde, haben wir ebenfalls bereits ausschließen können.
Wir können, bis wir nicht wenigstens mal einen Screenshot haben, auf dem ein Werbefenster offen ist (bei dem der Link nicht im Browser geöffnet wurde), leider auch nur spekulieren.
Eine Möglichkeit wäre, dass entweder die Aufrufe zu Shakes and Fidget oder die zu uns irgendwo auf dem Weg abgefangen und umgebogen werden, was aber nicht erklären würde warum die Popups teilweise von innerhalb des Bots zu kommen scheinen, das scheint uns aber irgendwie unwahrscheinlich.

Wenn jemand etwas zur Lösungsfindung beitragen kann ist er hiermit herzlich dazu aufgefordert - die neue Release wird sicherheitshalber vorerst aufgeschoben, bis das geklärt ist.

Grüße,
Robin

----

ENGLISH:
Hi there!

Because the thread of blablabla matches the behaviour reported in the other posts, I've merged the threads.

Firstly: We still wouldn't build in such a "functionality", certainly without telling you - neither in a beta nor a release.
The fact that the window can apparently also be opened out of the bot is even more disturbing than previously assumed, since we honestly do not know what it can be at the moment.
In the meantime we have excluded compromitation of the application itself, the files that you can download from our server are still the same we got out of the compiler and the obfuscator, unless someone changed the file on your PC which I don't expect here.
If you still want to check that, the hashes are as follows:

MFBOT 4650
CRC32: 520410B8
MD5: 99ABD046CF1850C60764655E25002ECA
SHA-1: B55B1E5441170232DFD35EEE30F90C58A3036CF6

MFBOT 4650 KONSOLE
CRC32: A61A5CCE
MD5: 84D922617CA9AC5B614E10E7EECC3B4A
SHA-1: 74059997402F91E02F97F1A45EB9487B3BCEB519

MFBOT 4658 BETA
CRC32: CA401759
MD5: AA184982268BB83116B6B43739ED374D
SHA-1: 0F303D2F3EDCC02A13659B69BE0C0014E3706D7A

MFBOT 4659 BETA
CRC32: A4F8CB67
MD5: CC82879DC54F957FB5B7A6728FCBB5CF
SHA-1: 6F7F881BE3E878C675AAA318C6855926FB6E290E
We have also been able to exclude the idea that the codebase was changed. We can, until we at least have a screenshot on which an ad window is open (where the link was not opened in the browser but out of the bot), only speculate, unfortunately.
One way would be, that the calls to shakes and fidget or our servers have been intercepted and redirected, but that wouldn't explain why the popups seem to come from within the bot and that seems a bit unlikely.

If someone can contribute to finding a solution, he is hereby really invited to do so - for reasons of safety the new release will be postponed until this topic is clearified.

Regards,
Robin
MFBot-VersionCode-Zeilen*In Dateien*Letzte Version
MFBot 1.5.x64851Juli 2013
MFBot 2.x1436316März 2014
MFBot 3.x2209536März 2015
MFBot 4.x55242241Juli 2018
MFBot 5.x66000440Tbc
*Ohne automatisch generierten Designer-Code
blablabla
Spender
Beiträge: 118
Registriert: Mi 24. Sep 2014, 13:14
Hat sich bedankt: 21 Mal
Danksagung erhalten: 17 Mal

Re: Verdächtiger Link wird im Hintergrund geöffnet // Ads/Phishing sites are shown

Beitrag von blablabla »

Thanks Robin,

indeed my antivirus NOD32 had block some url and i have see the popup only after i have garanted safe access at mfbot (trusting your work).

this is the log of these event blocked exported in an xml file:
SPOILER
<?xml version="1.0" encoding="utf-8" ?>
<ESET>
<LOG>
<RECORD>
<COLUMN NAME="Ora">15/11/2017 19:10:20</COLUMN>
<COLUMN NAME="Scanner">Filtro HTTP</COLUMN>
<COLUMN NAME="Tipo di oggetto">FILE</COLUMN>
<COLUMN NAME="Oggetto">http://www-mfbot.de</COLUMN>
<COLUMN NAME="Minaccia">JS/Redirector.NDS trojan horse</COLUMN>
<COLUMN NAME="Azione">connessione terminata</COLUMN>
<COLUMN NAME="Utente"></COLUMN>
<COLUMN NAME="Informazioni">Minaccia rilevata all'accesso al Web dall'applicazione: E:\MFBot4\MFBot.exe (6F7F881BE3E878C675AAA318C6855926FB6E290E).</COLUMN>
<COLUMN NAME="Hash">12D8DC41D8DEE1129A7FBB4A380B643EF80AD6AB</COLUMN>
<COLUMN NAME="Prima visualizzazione"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Ora">16/11/2017 13:21:37</COLUMN>
<COLUMN NAME="Scanner">Filtro HTTP</COLUMN>
<COLUMN NAME="Tipo di oggetto">FILE</COLUMN>
<COLUMN NAME="Oggetto">http://www-mfbot.de</COLUMN>
<COLUMN NAME="Minaccia">JS/Redirector.NDS trojan horse</COLUMN>
<COLUMN NAME="Azione">connessione terminata</COLUMN>
<COLUMN NAME="Utente"></COLUMN>
<COLUMN NAME="Informazioni">Minaccia rilevata all'accesso al Web dall'applicazione: E:\MFBot4\MFBot.exe (6F7F881BE3E878C675AAA318C6855926FB6E290E).</COLUMN>
<COLUMN NAME="Hash">AAF6A289E87D6AA2FC045C50FAF0E523309C1D20</COLUMN>
<COLUMN NAME="Prima visualizzazione"></COLUMN>
</RECORD>
<RECORD>
<COLUMN NAME="Ora">17/11/2017 02:08:18</COLUMN>
<COLUMN NAME="Scanner">Filtro HTTP</COLUMN>
<COLUMN NAME="Tipo di oggetto">FILE</COLUMN>
<COLUMN NAME="Oggetto">http://www-mfbot.de</COLUMN>
<COLUMN NAME="Minaccia">JS/Redirector.NDS trojan horse</COLUMN>
<COLUMN NAME="Azione">connessione terminata</COLUMN>
<COLUMN NAME="Utente"></COLUMN>
<COLUMN NAME="Informazioni">Minaccia rilevata all'accesso al Web dall'applicazione: E:\MFBot4\MFBot.exe (6F7F881BE3E878C675AAA318C6855926FB6E290E).</COLUMN>
<COLUMN NAME="Hash">B2EBFDF3E5B6B7B09B2FBE74B737B15E124F741D</COLUMN>
<COLUMN NAME="Prima visualizzazione"></COLUMN>
</RECORD>
</LOG>
</ESET>
hope that can help your search.

edit: i have remove the safe access at the mfbot.exe and when i launch the .exe the antivirus block the JS/Redirector.NDS trojan horse. Maybe someone hacked your website? check that all the file there are legit too
2g4y1
Spender
Beiträge: 32
Registriert: Mo 20. Apr 2015, 16:16
Hat sich bedankt: 14 Mal
Danksagung erhalten: 9 Mal

Re: Verdächtiger Link wird im Hintergrund geöffnet // Ad popups

Beitrag von 2g4y1 »

@Robin,

Hab mal mitgeloggt was alles aufgerufen wird beim starten.

Hier der Link zum report - Weil es in html ist.

Code: Alles auswählen

https://htmlpreview.github.io/?https://github.com/2g4y1/trash/blob/master/report.html
wenn noch was dazukommt werd ichs dazufügen :D
Benutzeravatar
Robin
Administrator
Beiträge: 1723
Registriert: So 30. Jun 2013, 18:12
Wohnort: Rheinland-Pfalz
Hat sich bedankt: 303 Mal
Danksagung erhalten: 354 Mal

Re: Verdächtiger Link wird im Hintergrund geöffnet // Ad popups

Beitrag von Robin »

Hi bla!
Thanks for your report, really! I think I have the problem now: Someone used a mighty bug which has been there for months.

Background: As you may or may not know, you can open a Help/News window out of the menu bar of the bot, for a faster loading the window is supposed to load our site at bot start.
We apparently have a typo in the adress which the bot navigates to (Edit: For testing the connection to the server), which makes the called URL not http://www.mfbot.de, but http://www-mfbot.de - noticed the small "-" there? That is not part of our domain.
And now, seven days ago, someone had the clever idea of registering the site and use it for phishing, spam and advertising.

It seems I haven't got the possibility to postpone the new release, but to recommend it over all possible channels as soon as I'm done. That will be a great night.
Thanks for your help, again!

Regards,
Robin

Edit: An 2g4y1: Danke dir, das bestätigt unsere Theorie, siehe den ersten Eintrag der Liste

Nochmal kurz auf Deutsch:
Wir haben es, danke für die viele Hilfe und die direkten Meldungen!
Wie ihr vielleicht wisst, gibt's im Bot ein Hilfe- und Newsfenster, damit es schneller lädt wird bei Botstart sowohl geprüft, ob die Seite überhaupt erreicht werden kann als auch das Fenster selbst schon geöffnet und ausgeblendet gelassen.
Problem dabei ist, dass beim Test auf die Verbindung nicht www.mfbot.de, sondern www-mfbot.de abgefragt ist - das sollte normal kein Problem sein, weil die Seite bis vor kurzen gar nicht registriert war, ironischerweise hätte das Hilfefenster das Forum auch gar nicht anzeigen dürfen, hat wohl aber scheinbar doch irgendwie funktioniert.
Größeres Problem: Jemand hatte vor 7 Tagen die clevere Idee, die Domain zu registrieren und für Phishing, Spam bzw. Werbung zu nutzen.

Scheint so, als hätte ich heute Abend keine Möglichkeit mehr, die Release zu verschieben^^

Grüße,
Robin
MFBot-VersionCode-Zeilen*In Dateien*Letzte Version
MFBot 1.5.x64851Juli 2013
MFBot 2.x1436316März 2014
MFBot 3.x2209536März 2015
MFBot 4.x55242241Juli 2018
MFBot 5.x66000440Tbc
*Ohne automatisch generierten Designer-Code
Gesperrt

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 6 Gäste