Freewarescenery.com - Achtung, Cryptominer!

    • Freewarescenery.com - Achtung, Cryptominer!

      Neu

      Hallo zusammen,

      für so ein Thema gibt es wahrscheinlich kein passendes Unterforum - ich poste es relativ "weit oben" in der Hoffung, dass es wahrgenommen wird.

      Ich hatte vor ein paar Tagen das Problem, dass meine CPU-Auslastung nach Neustart bei 100% lag. Die Diagnose des Problems hat mich etwas Zeit gekostet und war umso überraschender - daher Warnung an Euch.

      Offenbar ist in der bekannten Freeware-Scenery-Liste www.freewarescenery. com seit einigen Tagen ein sogeannten Crypto-Miner als verstecktes Javascript eingebaut. Daher Vorsicht - eine Besuch auf freewarescenery. com (bewußt nicht als Link geschrieben) lastet Eure CPU mit der maximal möglichen Last aus! Weitere Schäden halte nicht für wahrscheinlich, man muß sich wohl keine Sorgen um dauerhafte Schäden durch Viren, etc... machen, trotzdem ist Vorsichtig angebracht (da man nicht weiß, ob das ein Hack oder Absicht ist).

      Wer nicht weiß, was ein Cryptominer ist:
      sueddeutsche.de/digital/krypto…als-goldgraeber-1.3719267
      sueddeutsche.de/digital/mining…andere-verdient-1.3744572
      heise.de/security/meldung/Kryp…er-schuetzen-3865577.html
      heise.de/newsticker/meldung/Pi…r-PCs-laufen-3834222.html

      Bei Crypto-Minern wird heimlich Rechenleistung (subtil bis massiv) von Euch abgezweigt, um Kryptowährungen zu schürfen, also Internet-Geld zu erzeugen wie z.B. Bitcoin, Ethereum, natürlich ohne daß Ihr etwas davon habt.

      Am genannten konkreten Beispiel lässt sich das anhand der CPU-Auslastung gut nachverfolgen...

      Gruß,
      Markus
      747-400 Fan (Aerowinx PSX und PS1.3, PMDG 747-400) und Mitglied im FlightXPress Forum seit Januar 2000!
    • Neu

      Danke für diesen Tipp!
      Da ich öfter dies Seite (freewarescenery) besuche, ist mir das natürlich wichtig. Denkst du, dass die Betreiber - so wie andere - hier Gegenmaßnahmen ergreifen werden? Ich weiß schon, dass du das natürlich nicht wissen kannst aber vermuten. Das Deaktivieren von Javascript mit einem geeigneten Addon ist zwar möglich aber doch ziemlich störend!
      happy landings

      wünscht Christian 8)

      Intel(R) Core (TM) i5-6600K CPU @ 3.50GHZ, 4 Kerne, 16 GB physischer Speicher (4x4)
      Grafikk. MSI RX 480; M. SATA WD 500 GB; WD RED PRO 2TB Win 10, 64 bit; FSX Gold Acc.
    • Neu

      MarkusV schrieb:

      Offenbar ist in der bekannten Freeware-Scenery-Liste www.freewarescenery. com seit einigen Tagen ein sogeannten Crypto-Miner als verstecktes Javascript eingebaut
      Das stimmt defintiv nicht. Ich habe Javascript zugelassen und meine CPU dümpelt bei 5% schon 2 h lang. Ich würde an Deiner Stelle mal meinen PC andwerweitig untersuchen ehe so eine Behauptung als gegeben online gestellt wird.
    • Neu

      Hm, komisch, der CPU von meinem Firmenrechner dreht auch direkt hoch, Auslastung bei 95% beim Besuch der Seite.
      Chrome, Firefox und IE, bei allen Browsern der Fall.
      Win10 64bit CPU: 6600 ASUS Z170 GK: 960
      P3Dv4
      FSDT: KCLT KIAH KMEM LSZH LSGG KORD KJFK KLAS KDFW PHNL KFLL KLAX
      FlyTampa: EHAM OMDB LGKR
      MEGA SCENERIES Earth: Germany Spain
      Global X, Switzerland X, ASN REX
      PMDG: 747v3 MD11 737NGX 777-200/300; Level-D: 767; PFPX FSC
      All Jeppesen Charts, All AIRACs
    • Neu

      Danke für die Rückmeldungen.

      Ich werde heute Abend mal den Webmaster (R.J. Osterloo) anschreiben und schauen was passiert.


      Hallo Jos,
      > Ich würde an Deiner Stelle mal meinen PC andwerweitig untersuchen ehe so eine Behauptung als gegeben online gestellt wird.

      es kann ja durchaus möglich sein, dass das Skript - aus welchen Gründen auch immer - auf Deinem Rechner nicht ausgeführt wird, aber bitte wirf mir dann nicht gleich Inkompetenz vor.
      Der Effekt ist bei mir digital - das Öffnen eines einzigen weiteren Tabs in Google Chrome bewirkt nichts, sobald ich die Seite aufrufe, steigt meine CPU-Last auf 100%. Beim Schließen geht die Last sofort auf 1-2% zurück.

      Zudem habe ich mir natürlich den Quellcode der Seite angesehen und finde natürlich ein extern eingebundenes Javascript, dass offenbar keine Funktion hat (die Seite ist eher aus relativ einfachem HTML aufgebaut) und auch von der Benamung her für mich nicht gerade vertrauenserweckend aussah. Es passt also ins Bild.

      Markus

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von MarkusV ()

    • Neu

      Jos schrieb:

      MarkusV schrieb:

      Offenbar ist in der bekannten Freeware-Scenery-Liste www.freewarescenery. com seit einigen Tagen ein sogeannten Crypto-Miner als verstecktes Javascript eingebaut
      Das stimmt defintiv nicht. Ich habe Javascript zugelassen und meine CPU dümpelt bei 5% schon 2 h lang. Ich würde an Deiner Stelle mal meinen PC andwerweitig untersuchen ehe so eine Behauptung als gegeben online gestellt wird.
      Bei mir genauso, maximal 8%. Ich habe mir den HTML Quellcode von Haupsteite und den FSX Unterseiten mal angesehen und nichts Auffälliges gefunden (ausser den üblichen Verdächtigen google-analytics, quantserve und jsdelivr). Vielleicht postet der TO ja mal, was ihm da negativ aufgefallen ist.
      The propeller is just a big fan in front of the plane used to keep the pilot cool. When it stops, you can actually watch the pilot start sweating.
    • Neu

      So, wer es nochmal genau wissen - wenn ich die Seite in Chrome (Edit: oder Firefox) aufrufe und den HTML-Quellcode betrachte, findet sich folgende Zeile bei mir:

      <script src="//cookiescriptcdn.pro/libs/cookieconsent.6.min.js"></script>

      Im Quellcode dieses Scriptes findet sich dann folgendes:
      self.CryptoLoot=self.CryptoLoot||{};self.CryptoLoot.CONFIG={LIB_URL:\"https://crypto-loot.com/lib/\"
      Der Verweis auf crypto-loot .com ist hier relativ eindeutig zu erkennen. <X Wenn man zu dieser Webseite surft, dann wird hier gar nicht mal um den heißen Brei herumgeredet.

      Zitat direkt aus den Großbuchstaben der Startseite:
      "A Crypto Miner for your Website Visitors. Monetize Your Online Business With Your Visitors through their Web Browsers!"... "Running our miner on your webite will go unnoticed by users after they click run if you set threads between 2-4."... "Our silent miner works accross all devices: Desktops, Laptops, Tablets, Phones, Windows, Linux, and iOS."
      Auf der Seite gibt es noch mehr Erklärungen dazu und wofür es alles dient.

      Nochmal auf gut Deutsch: hier wird viel Rechenleistung von Euch abgezogen für einen monetären Vorteil des Webmasters oder wer auch immer das Skript in die oben genannte Seite eingebaut hat. Die Anbieter des Skripts machen keinen Hehl daraus, dass dies hinter dem Rücken des Users (also uns) geschehen soll. Das ist aus meiner Sicht so nicht in Ordnung.

      Ich frage mich gerade noch, ob ich selbst direkt auf den Webmaster zugehen soll - wenn er das selbst veranlasst hat, werde ich mir da eine schöne Abfuhr holen oder ob man da nicht gleich besser eines der Portale vorschickt (simflight z.B.), die quasi mit journalistischem Anspruch nachfragen können und bei ablehnender Antwort das auch entsprechend publizieren können. Meinungen?

      Markus
    • Neu

      Also bei mir ist die von Dir angegebene Zeile im Quelltext nicht zu finden. Auf keinem von vier Rechnern und zwar weder in Firefox 56 (auf zwei der Rechner war der Update noch nicht durchgeführt) bzw. 57 noch in Chrome. Vielleicht wurde sie mittlerweile entfernt...
      The propeller is just a big fan in front of the plane used to keep the pilot cool. When it stops, you can actually watch the pilot start sweating.
    • Neu

      Ich sehe die Zeile auch im Quelltext.
      Win10 64bit CPU: 6600 ASUS Z170 GK: 960
      P3Dv4
      FSDT: KCLT KIAH KMEM LSZH LSGG KORD KJFK KLAS KDFW PHNL KFLL KLAX
      FlyTampa: EHAM OMDB LGKR
      MEGA SCENERIES Earth: Germany Spain
      Global X, Switzerland X, ASN REX
      PMDG: 747v3 MD11 737NGX 777-200/300; Level-D: 767; PFPX FSC
      All Jeppesen Charts, All AIRACs
    • Neu

      Das Ganze ist recht gut versteckt im Quelltext. Das extern verlinkte Skript zur Vereinfachung des Cookie-Handlings (cookieconsent.6.min.js) auf der Seite enthält viel Hex-Codierten Quelltext, indem aber auch der Verweis zum Crypto-Miner crypto-loot zu finden ist. Dieses Skript lädt den Crypto-Miner als Blob nach. Ich vermute, dass der Betreiber der Webseite gar nichts von seinem "Glück" weiss.
      Ich würde abwarten bis dieser sich meldet und das eventuell kompromierte Cookie-Skript entfernt.

      Viele Grüße Tibor

      P.S.: Erster Post nach vielen Jahren passiven Mitlesens. Vielen Dank füe die unendliche Wissensvermittlung in diesem Forum...
    • Neu

      Während ich noch auf eine Antwort warte ...

      Es gibt eine sehr einfach Lösung (auf Eurer Computer-Seite), die ohne Eingriff in die Browser-Einstellungen auskommt und somit auch keine Nebenwirkungen auf andere Webseiten hat.

      Das Crypto-Miner-Skript nutzt ja das nachladen eines Javascripts von der Seite crypto-loot.com aus (zur Ausführung der Berechnungen). Diese Skript holt er sich somit von einer dritten Webseite. Das kann man aber effektiv und zu 100% wirksam unterbinden, indem man in die DNS-Auflösung eingreift.

      Damit Euer Rechner auf crypto-loot.com zugreifen kann, muss es mittels DNS den Rechnernamen in eine IP-Adresse umwandeln á la 123.123.234.234 . Dazu dient DNS. Auf jedem Rechner gibt es aber einen HOSTS - Datei, in der bestimmte Einträge vorgegeben werden können. Jeder Computer schaut in dieser HOSTS - Datei nach, bevor er auf DNS zugreift.

      Dazu müsst Ihr einfach die HOSTS - Datei öffnen und folgende Zeile einfügen: (Die Datei liegen normalerweise in C:\Windows\System32\drivers\etc bzw. %windir%\System32\drivers\etc

      0.0.0.0 crypto-loot.com

      oder
      127.0.0.1 crypto-loot.com geht auch

      (Das geht z.B. mit notepad.exe - aber bitte unbedingt als Adminstrator starten.)
      Wer es offziell haben will: siehe hier
      windowspro.de/wolfgang-sommerg…tei-windows-10-bearbeiten oder
      praxistipps.chip.de/hosts-datei-bearbeiten-in-windows_1307

      Was bewirkt dieser Eintrag? Mit diesem Eintrag wird crypto-loot.com nicht mehr auf die IP-Adresse 104.25.6.31 aufgelöst, sondern auf 0.0.0.0 oder 127.0.0.1 (Euer eigener Rechner). Nachdem es das Skript auf Eurem Rechner nicht gibt bzw. der Rechner 0.0.0.0 nicht existiert, kann es nicht nachgeladen werden. Somit wird auch kein unerwünschter Code nichts ausgeführt.

      Das Schöne an dieser Lösung - es wirkt auch für ALLE anderen Webseiten, die genau diesen Crypto-Miner einsetzen (sofern sie die URL bzw. Domain verwenden).

      Also ... mit diesem Eintrag in \etc\hosts kann man freewarescenery.com wieder verwenden, ohne Nebenwirkungen zu befürchten.

      Gruß,
      Markus
    • Neu

      Das Skript wird aber nur auf der Startseite geladen, wenn man auf die Links FS2004, FSX, FS2002 klickt ist mit dem Skript schon wieder Feierabend.

      So eine CPU Auslastung würde man ja gerne beim Flusi haben, 100% auf allen Kernen :D
      Mike - Mitglied im FlightXPress Forum seit Dec 2007.

      Intel i5 4690K @ 4,5GHz - AsRock Z97 Extreme 4 - 16GB G.Skill Ripjaws X - Sapphire Vapor-X Radeon R9 290X Tri-X 8GB - Corsair Force3 120GB SSD - Samsung 840 Pro 256GB SSD - OCZ ARC 100 120GB SSD - Thermaltake Paris 650W Gold - Corsair R200 Gehäuse - Corsair H110 - Saitek X52 - Acer 24" Monitor 1920x1080 - WIN 7 Home Premium 64 Bit X-Plane 10 & FSX Gold Edition