Get Adobe Flash player

Switch droht mit Domain Sperre

~5 Min. Lesezeit

Ob Switch Gebühren hortet und den Geldern mal schnell Switch Plus gründet, also Quersubvention, oder einfach sonst ihre Monopolstellung ausnutzt, ist in meinen Augen ein dreckiges Geschäft was man boykottieren sollte.

Switch hatte nun eine neue Idee wie man Leute ärgern könnte um die Sicherheit zu erhöhen in dem man über alle .ch Domains ein Viren- und Malwarescanner jagt.

Sollte nun eine Datei von solch einem Scanner als Malware erkannt werden, bekommt man ein solches Mail:

Sehr geehrter Herr Murawski

SWITCH, die Registrierungsstelle für “.ch” Domains, wurde darüber informiert, dass Ihr Domain-Name murawski.ch aktuell dazu missbraucht wird, schädliche Software (Malware) zu verbreiten.

Die URLs, die uns am 23.04.2012 17:28 gemeldet wurden, sind im Folgenden angeführt. Vorsicht! Öffnen Sie die URLs nicht in Ihrem Browser, da dies bereits zu einer Infektion Ihres Rechners führen kann. Aus Sicherheitsgründen haben wir die URLs verändert (“hxxp://” statt “http://”).

hxxp://blog.murawski .ch/wp-content/uploads/2010/09/ScreenLockFucker.exe

Höchstwahrscheinlich wurde der Code zur Verbreitung der schädlichen Software unbemerkt von Dritten auf Ihrer Website platziert, zum Beispiel durch eine Sicherheitslücke auf Ihrer Website, ein schwaches Passwort oder durch Spionagesoftware auf Ihrem PC. Dies hat ernste Konsequenzen für die Besucher Ihrer Website: Gegenwärtig kann sich jeder schon beim Aufruf Ihrer Website mit gefährlicher Malware wie Viren, E-Banking-Trojanern oder Würmern infizieren.

Als Halter des genannten Domain-Namens bzw. als technischer Kontakt sind Sie für die Inhalte der Website verantwortlich. Deshalb fordern wir Sie auf, den Code zur Verbreitung der schädlichen Software umgehend, jedoch spätestens bis am 24.04.2012 17:28 zu entfernen. Falls dies bis dahin nicht erfolgen sollte, werden wir zum Schutz der Besucher Ihrer Website folgende Schritte einleiten:

1. Löschung der Name-Server-Zuordnung, gestützt auf AGB Ziff. 3.2.3 lit. b in Verbindung mit Ziff. 3.3.2 Abs. 2 lit. e. Dies bedeutet, dass Ihre Website nicht mehr erreichbar ist.

http://www.nic.ch/de/terms/agb.html

2. Blockierung des Domain-Namens, gemäss AEFV Art. 14f bis.

http://www.admin.ch/ch/d/sr/784_104/a14bist.html

3. Verständigen der zuständigen Behörden, um eine richterliche Verfügung zu beantragen.

Wir gehen davon aus, dass Sie den schädlichen Code schnellstmöglich beseitigen oder die betreffenden Websites von Ihrem Server entfernen. Unterstützung erhalten Sie dabei von Ihrem Hosting-Anbieter sowie auf der SWITCH-Website:

http://www.nic.ch/de/faq/malware.html

Bitte bestätigen Sie uns umgehend die Entfernung des Codes durch eine Antwort auf diese E-Mail.

Freundliche Grüsse

SWITCH Internet Domains
——————————————————————————–
SWITCH Internet Domains, Postfach, CH 8021 Zürich • http://www.nic.ch/de
Tel. +41 (0) 848 844080 • Fax +41 (0) 848 844081 • E-Mail helpdesk@nic.ch

Generell eine gute Idee von Switch und ich denke auch 95% aller Meldungen sind sehr treffend, doch darf man keine Arbeit nur halb machen. Wenn man eine Rückmeldung vom Kunden erhaltet, sollte man sich die Mühe machen eine Datei zu testen, anstelle einfach “Wir bestehen auf die Lösung” mitzuteilen. Denn False-Positive gibt es genauso.

Entweder man macht es richtig oder lässt es ganz. Aber bei Monopolfirmen ist dass eben so eine Sache.

Tatsächlich rapportiert Virustotal eine unbekannte Malware bei mir:
https://www.virustotal.com/file/b17e3add7c95b016a30b36640602085ca139a7ea6906aa1a7230bab428ee7be9/analysis/

Was ist das schon wieder für eine Datei?

Genau, wenn keine Benutzereingabe innerhalb von 10 Minuten passiert, sollte das Programm den Mauscurser 1 Pixel nach Links und wieder zurück bewegen. Dies, damit der Bildschirmschoner nicht aktiviert wird. Mehr kann das Programm nicht.
Schwer gefährliche Malware!!

Klar könnte ich die Datei löschen und der Drohung entgehen:

1. Löschung der Name-Server-Zuordnung, gestützt auf AGB Ziff. 3.2.3 lit. b in Verbindung mit Ziff. 3.3.2 Abs. 2 lit. e. Dies bedeutet, dass Ihre Website nicht mehr erreichbar ist.

http://www.nic.ch/de/terms/agb.html

2. Blockierung des Domain-Namens, gemäss AEFV Art. 14f bis.

http://www.admin.ch/ch/d/sr/784_104/a14bist.html

3. Verständigen der zuständigen Behörden, um eine richterliche Verfügung zu beantragen.

Aber hört es dabei auf? Oder fallen irgendwann meine anderen VB6 Programme auch mit in den Topf?

Als bekanntes Beispiel folgt der Windows 7 Service Improver, welcher auch VB6 Code ist, extrem viel am dem System rumbastelt und sogar auch schon von einem Scanner erkannt wird als Malware. Muss ich nun einfach all meine Programme entfernen weil irgendein Scanner Alarm brüllt? Viele User verlieren welche glücklich beim Setup schnell das Tool starten und Windows 7 gleich angepasst ist?

Ginge es vermutlich nach Switch wäre freie Meinungsäusserung im Internet genauso verboten wie meine Programme. Nein stimmt, ich könnte die Programme auch Passwortgeschützt Zippen und so den Scanner aus tricksen (was Switch vorschlägt)?
Ich will aber kein ZIP, ich will eine EXE und ist es nicht meine Freiheit auf meinem Server eine EXE bereitzustellen?
Rechtlich gesehen darf ich jedoch meine Programme solange verteilen wie diese keine Malware beinhalten. Da meine Programme gegebenenfalls als solches erkannt werden, macht es diese aber noch lange nicht zu Malware, denn Malware sind Schadprogramme.

Mein Programm richtet keinen Schaden an, ausser das der Bildschirmschoner nicht aktiviert wird. Löscht man das Programm oder stoppt es, ist Alles vorbei.

Ich freue mich jedenfalls schon auf die Abschaltung der Domain und die rechtlichen Konsequenzen daraus (dies sind meine Haupt DNS Server für diverse Kunden), meine Rechtsschutzversicherung wahrscheinlich weniger.

Wie ich schon sagte, den Schutz generell finde ich toll,, findet der Scanner aber nur verlinkte Dateien. Setzte ich unverlinkte Dateien auf den Server, kann ich 1000de Viren uploaden ohne das Switch etwas bemerkt.
Wie sinnvoll ist die Sache also am Ende wirklich noch?

Wie ich auch schon sagte, sollte Switch eine False-Positive Liste führen und gegebenenfalls per Sandboxie oder VM das Zeug testen sobald ein Kunde beteuert ein False-Positive in der Liste zu haben. Sonst macht das kein Sinn sonder ist reine Schikane.

Ich habe nun einfach die IPs der Scanner die regelmässig vorbeikommen gebannt und so werden sie meine Seiten nicht mehr scannen können. Mal schauen wie lange Switch den Dickschädel beibehält.

Ich glaub ich starte eine Initiative zur Abschaffung von Switch und die angesammelten Gelder müssen in den AHV Fond eingezahlt werden. Dann hätte das Volk wirklich etwas von Switch!

Weitere interessante Beiträge:

2 Kommentare zu „Switch droht mit Domain Sperre“

  • avatar Anna:

    Wirklich gut arbeiten Sie aber nicht, hatte gerade auf einigen WordPress Installationen Malware, welche mir von Google gemeldet wurde, von SWITCH habe ich noch nichts gehört.

  • Sehr schöner Beitrag und eine clevere Lösung :-) Leider werden vb6 Programme schneller als Malware erkannt weil es eine ältere Sprache ist. Mit C# und allgemein .Net Sprachen solltest du dieses Problem nicht mehr haben. Naja.. schade dass sich Switch auf Antiviren-Software verlässt. Diese sind ja bekanntlich mit sehr einfachen Methoden auszutricksen (z.b. API crypting) und anfällig für false positive. Vorallem bei vb6/delphi und anderen nativen Sprachen. Wie gesagt, top Lösung. Vielleicht sperren Sie die Domain direkt wenn die IPs ausgeschlossen werden.. wer weiss

Kommentieren

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.