kaspersky-labs.com 127.0.0.1

[JunkFreak]

Hallo Leute,

ich nutze seit gestern Kaspersky Free und bin gerade etwas verwundert. Wenn ich auf die Seite "kaspersky-labs.com" einen nslookup mache, bekomme ich die Loopback-Adresse 127.0.0.1 zurück. Nun habe ich bereits gegoogelt und kam oft auf den Bezug mit einen Trojaner. Ich habe den PC jedoch gestern erst neu aufgesetzt und Kaspersky Free von der Herstellerseite heruntergelanden. Kann mir jemand vielleicht sagen ob es ein Virus ist oder ein normales Verhalten, falls ja warum dann 127.0.0.1?

Mit freundlichen Grüßen

 

[MetalForLive]

Ist bei mir auch so, hab aber Kaspersky Internet Security.
Warum das so ist, keine Ahnung.

Habe es nun auch mit einem Rechner getestet auf dem nicht mal Kaspersky drauf ist, dort bekomme ich die gleiche Meldung.

 

[Mojo1987]

Das dürfte normal sein, ist bei mir auch so und wird auch vom google-DNS so zurückgeliefert wenn man diesen abfragt.
Das dürfte nichts mit dem installierten Kaspersky zutun haben (auch wenn ich Kaspersky AntiVirus hab).

nslookup kaspersky-labs.com 8.8.8.8
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Nicht autorisierende Antwort:
Name: kaspersky-labs.com
Address: 127.0.0.1

 

[JunkFreak]

Okay danke euch schonmal.
Naja wenn man die Option "Skript für die Interaktion mit Webseiten in den Datenverkehr einbinden" aktiviert, wird halt bei fast jeder Seite der Link "ff.kis.v2.scr.kaspersky-labs.com" für die Link-Untersuchungs aufgerufen. Theoretisch müsste ja dann irgendein Dienst darauf laufen.

P.S. Bei allen Seiten außer computerbase.de . Wieso ist das bei computerbase.de nicht so?^^

 

[feidl74]

nter all den IP-Adressen spielt die Adresse 127.0.0.1 eine ganz besondere Rolle. Sie besteht aus dem Netzwerkteil 127.x.x.x, wobei die Verwendung dieses Netzwerkteils standardmäßig untersagt ist. Sie wird auch mit dem Namen "Localhost" bezeichnet und vor allem dafür verwendet, die Installation des lokalen Computers zu überprüfen. Sie dient auch dazu, die Kommunikation eines Client- mit einem Server-Prozess auf dem gleichen Rechner zu ermöglichen
sprich keine sorge, das ist eine interne ip Adresse von eurem rechner innerhalb eures netzwerks^^

 

[Vindoriel]

Man kann es auch dafür nutzen, indem man Anfragen an "bösartige" Server auf den eigenen Rechner umleitet bzw. diese den Rechner erst nicht verlassen. Dies geschieht in der "hosts" (ohne Endung) in C:\Windows\System32\drivers\etc, Beispiel (Leertaste oder TAB zwischen IP und Adresse):

Beispiel:

127.0.0.1	adwords.google.com
127.0.0.1	www.zanox-affiliate.de
127.0.0.1	ad.zanox.com
127.0.0.1	zbox.zanox.com
127.0.0.1	www.googleadservices.com
127.0.0.1	partner.googleadservices.com
127.0.0.1	pagead2.googlesyndication.com
127.0.0.1	buttons.googlesyndication.com
127.0.0.1	www.google-analytics.com
127.0.0.1	ssl.google-analytics.com
127.0.0.1	www-google-analytics.l.google.com
127.0.0.1	www.googletagmanager.com
127.0.0.1	www.googletagservices.com
127.0.0.1	www-blogger-opensocial.googleusercontent.com
127.0.0.1	as-eu.falkag.net
127.0.0.1	sel.as-eu.falkag.net
127.0.0.1	a.as-eu.falkag.net
127.0.0.1	script.ioam.de
127.0.0.1	de.ioam.de
127.0.0.1	cdn.mxpnl.com
127.0.0.1	api.mixpanel.com

# Fressebuch
127.0.0.1	www.facebook.com
127.0.0.1	connect.facebook.net
127.0.0.1	de-de.facebook.com
127.0.0.1	facebook.com

 

[xxxx]

Sollte normal sein wahrscheinlich dirigiert der Webschutz alle Anfragen zu 127.0.0.1 wo sie dann bearbeitet werden machen viele Virenscanner so.

 

[JunkFreak]

1. Warum wird computerbase.de eigentlich nicht überprüft?
2. So wie ich es verstanden habe wird, sobald ich "facebook.de" aufrufe (sofern die host-Datei wie unten geändert wäre) auf meinen eigenen PC umgeleitet werden. Das ist in erster Linie ja nicht schlimm, ich kann halt nur die Website nicht aufrufen. Wenn ich nun eine Anfrage an einen "bösartigen" Server hätte würde diese ja quasi auf meinen Rechner landen, das ist doch aber eher positiv da die "böse" Verbindung nicht aufgebaut wird oder sehe ich das falsch?
3. Wenn ich mir jetzt die Analyse von Sophos bei diesem Trojaner anschaue, steht da nun jetzt mehrere Anfragen mit "*.kaspersky-labs.com" die auf 127.0.0.1 geändert wären. Das ist doch aber keine Änderung, da die Domain ohnehin auf die Loopback-Adresse verweist oder sehe ich das falsch?

 

[SHIVAno1]

"Normal" ist das sicher nicht. Bei mir löst kaspersky-lab.com nach 209.91.196.152 auf; das gleiche Ergebnis liefert mir auch der google DNS.



Kaspersky hat offensichtlich Deine hosts manipuliert, um Anfragen an diese domain auf den localhost umzuleiten. Was es damit genau bezweckt, kann ich nicht sagen. Vermutlich läuft lokal eine Art Proxy der Kaspersky Software, die dann mit der Anfrage irgendetwas anfängt.

Generell ist Rumpfuscherei in der hosts auf einem privaten Rechner meines Erachtens eher fragwürdig. Es ist schon richtig, dass Anfragen an potentiell gefährliche Server/Domains mit einem entsprechenden Eintrag auf lokal umgeleitet werden und ein theoretischer Angriff dann nicht passieren kann. Aber eine sinnvolle Praktik ist das kaum, da die via hosts umgeleiteten Domains dann eben nie mehr aufrufbar sein werden und ein Schutz ist das sicher nicht, da schon mit einer Anfrage auf die IP anstatt der Domain der "Schutz" unterwandert wäre.

Edit:
Sorry @AndyMutz, mein Fehler, sollte genauer lesen... :-S

 

[AndyMutz]

@SHIVAno1
es geht hier um kaspersky-labs.com, nicht um kaspersky-lab.com.

kaspersky-labs.com wird bei mir auch auf 127.0.0.1 aufgelöst, habe auch kaspersky free laufen.

-andy-

 

[Mojo1987]

Nochmal, das hat nichts mit einem installierten Kaspersky zutun. Das ist so in deren DNS Konfiguration hinterlegt. Wenn ihr das Ganze über irgendwelche Lookup Seiten abruft, dann kommt das selbe raus. Ich wage mal zu bezweifeln das die alle auch Kaspersky installiert haben

 

[Vindoriel]

Vielleicht ist kaspersky-labs.com auch eine "Fakeseite", die Malware verteilt und wird deswegen bei den DNS-Servern so gehandhabt. Die richtige Adresse ist auch www.kaspersky-labs.com, die wird auch nicht auf localhost umgeleitet.

Edit: Habe kein Kasperletheater installiert, nur Avira ohne die Bloatware wie Launcher, Webguard und Manipulation der Windowsfirewall (mache ich mit einem anderem Programm, da auch Teile von Avira blockiert werden).

 

[Bob.Dig]

Das klingt nach einer vernünftigen Erklärung.

 

[Mojo1987]

Das klingt nach einer vernünftigen Erklärung.

Nicht wirklich, weil www.kaspersky-labs.com das selbe ist wie kaspersky-labs.com. www. ist im Prinzip nur eine Subdomain davon, wenn mans platt erklären möchte. Warum das vom Domaininhaber so konfguriert wurde werden wir eher nicht rausfinden.

 

[Bob.Dig]

Die Erklärung passt schon, aber tatsächlich sind das wohl alles nicht offizielle Domains von Kaspersky. Deren Adresse lautet einfach kaspersky.com.

Warum der TE, nach dem er Kaspersky Free installiert hat, nun ausgerechnet einen nslookup auf "kaspersky-labs.com" gemacht hat, keiner weiß es.

 

[AndyMutz]

nur zur info, unter http://products.kaspersky-labs.com/ kann man sich alle möglichen installer von denen saugen.

-andy-

 

[Bob.Dig]

Okay, d.h. also, sie wollen nur die Sub-Domain nutzen und die Haupt-Domain nicht und haben sie deshalb auf localhost umgeleitet. Interessant, dass so was geht.

 

[JunkFreak]

Weil noscript einmal eine Subdomain aufruft (steht weiter oben) und einmal "....kaspersky-labs.com" und das ... deutet meines Wissens nach auf die Hauptdomain, da sonst die komplette Subdomain mit angezeigt werden würde. Falls ich falsch liege korriegiert mich bitte.