ComputerBase Menü
Aktuelles

kaspersky-labs.com 127.0.0.1

J

JunkFreak

Cadet 2nd Year
Registriert
Feb. 2017
Beiträge
29
Hallo Leute,

ich nutze seit gestern Kaspersky Free und bin gerade etwas verwundert. Wenn ich auf die Seite "kaspersky-labs.com" einen nslookup mache, bekomme ich die Loopback-Adresse 127.0.0.1 zurück. Nun habe ich bereits gegoogelt und kam oft auf den Bezug mit einen Trojaner. Ich habe den PC jedoch gestern erst neu aufgesetzt und Kaspersky Free von der Herstellerseite heruntergelanden. Kann mir jemand vielleicht sagen ob es ein Virus ist oder ein normales Verhalten, falls ja warum dann 127.0.0.1?

Mit freundlichen Grüßen
 
Ist bei mir auch so, hab aber Kaspersky Internet Security.
Warum das so ist, keine Ahnung.

Habe es nun auch mit einem Rechner getestet auf dem nicht mal Kaspersky drauf ist, dort bekomme ich die gleiche Meldung.

Unbenannt.png
 
Zuletzt bearbeitet:
Das dürfte normal sein, ist bei mir auch so und wird auch vom google-DNS so zurückgeliefert wenn man diesen abfragt.
Das dürfte nichts mit dem installierten Kaspersky zutun haben (auch wenn ich Kaspersky AntiVirus hab).

nslookup kaspersky-labs.com 8.8.8.8
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Nicht autorisierende Antwort:
Name: kaspersky-labs.com
Address: 127.0.0.1
Zum Vergrößern anklicken....
 
Okay danke euch schonmal.
Naja wenn man die Option "Skript für die Interaktion mit Webseiten in den Datenverkehr einbinden" aktiviert, wird halt bei fast jeder Seite der Link "ff.kis.v2.scr.kaspersky-labs.com" für die Link-Untersuchungs aufgerufen. Theoretisch müsste ja dann irgendein Dienst darauf laufen.

P.S. Bei allen Seiten außer computerbase.de . Wieso ist das bei computerbase.de nicht so?^^
 
nter all den IP-Adressen spielt die Adresse 127.0.0.1 eine ganz besondere Rolle. Sie besteht aus dem Netzwerkteil 127.x.x.x, wobei die Verwendung dieses Netzwerkteils standardmäßig untersagt ist. Sie wird auch mit dem Namen "Localhost" bezeichnet und vor allem dafür verwendet, die Installation des lokalen Computers zu überprüfen. Sie dient auch dazu, die Kommunikation eines Client- mit einem Server-Prozess auf dem gleichen Rechner zu ermöglichen
sprich keine sorge, das ist eine interne ip Adresse von eurem rechner innerhalb eures netzwerks^^
 
Zuletzt bearbeitet:
Man kann es auch dafür nutzen, indem man Anfragen an "bösartige" Server auf den eigenen Rechner umleitet bzw. diese den Rechner erst nicht verlassen. Dies geschieht in der "hosts" (ohne Endung) in C:\Windows\System32\drivers\etc, Beispiel (Leertaste oder TAB zwischen IP und Adresse):

Beispiel:
Code: 
127.0.0.1	adwords.google.com
127.0.0.1	www.zanox-affiliate.de
127.0.0.1	ad.zanox.com
127.0.0.1	zbox.zanox.com
127.0.0.1	www.googleadservices.com
127.0.0.1	partner.googleadservices.com
127.0.0.1	pagead2.googlesyndication.com
127.0.0.1	buttons.googlesyndication.com
127.0.0.1	www.google-analytics.com
127.0.0.1	ssl.google-analytics.com
127.0.0.1	www-google-analytics.l.google.com
127.0.0.1	www.googletagmanager.com
127.0.0.1	www.googletagservices.com
127.0.0.1	www-blogger-opensocial.googleusercontent.com
127.0.0.1	as-eu.falkag.net
127.0.0.1	sel.as-eu.falkag.net
127.0.0.1	a.as-eu.falkag.net
127.0.0.1	script.ioam.de
127.0.0.1	de.ioam.de
127.0.0.1	cdn.mxpnl.com
127.0.0.1	api.mixpanel.com

# Fressebuch
127.0.0.1	www.facebook.com
127.0.0.1	connect.facebook.net
127.0.0.1	de-de.facebook.com
127.0.0.1	facebook.com
 
Zuletzt bearbeitet:
Sollte normal sein wahrscheinlich dirigiert der Webschutz alle Anfragen zu 127.0.0.1 wo sie dann bearbeitet werden machen viele Virenscanner so.
 
1. Warum wird computerbase.de eigentlich nicht überprüft?
2. So wie ich es verstanden habe wird, sobald ich "facebook.de" aufrufe (sofern die host-Datei wie unten geändert wäre) auf meinen eigenen PC umgeleitet werden. Das ist in erster Linie ja nicht schlimm, ich kann halt nur die Website nicht aufrufen. Wenn ich nun eine Anfrage an einen "bösartigen" Server hätte würde diese ja quasi auf meinen Rechner landen, das ist doch aber eher positiv da die "böse" Verbindung nicht aufgebaut wird oder sehe ich das falsch?
3. Wenn ich mir jetzt die Analyse von Sophos bei diesem Trojaner anschaue, steht da nun jetzt mehrere Anfragen mit "*.kaspersky-labs.com" die auf 127.0.0.1 geändert wären. Das ist doch aber keine Änderung, da die Domain ohnehin auf die Loopback-Adresse verweist oder sehe ich das falsch?
 
"Normal" ist das sicher nicht. Bei mir löst kaspersky-lab.com nach 209.91.196.152 auf; das gleiche Ergebnis liefert mir auch der google DNS.

Unbenannt.PNG

Kaspersky hat offensichtlich Deine hosts manipuliert, um Anfragen an diese domain auf den localhost umzuleiten. Was es damit genau bezweckt, kann ich nicht sagen. Vermutlich läuft lokal eine Art Proxy der Kaspersky Software, die dann mit der Anfrage irgendetwas anfängt.

Generell ist Rumpfuscherei in der hosts auf einem privaten Rechner meines Erachtens eher fragwürdig. Es ist schon richtig, dass Anfragen an potentiell gefährliche Server/Domains mit einem entsprechenden Eintrag auf lokal umgeleitet werden und ein theoretischer Angriff dann nicht passieren kann. Aber eine sinnvolle Praktik ist das kaum, da die via hosts umgeleiteten Domains dann eben nie mehr aufrufbar sein werden und ein Schutz ist das sicher nicht, da schon mit einer Anfrage auf die IP anstatt der Domain der "Schutz" unterwandert wäre.

Edit:
Sorry @AndyMutz, mein Fehler, sollte genauer lesen... :-S
 
Zuletzt bearbeitet:
@SHIVAno1
es geht hier um kaspersky-labs.com, nicht um kaspersky-lab.com.

kaspersky-labs.com wird bei mir auch auf 127.0.0.1 aufgelöst, habe auch kaspersky free laufen.

-andy-
 
Nochmal, das hat nichts mit einem installierten Kaspersky zutun. Das ist so in deren DNS Konfiguration hinterlegt. Wenn ihr das Ganze über irgendwelche Lookup Seiten abruft, dann kommt das selbe raus. Ich wage mal zu bezweifeln das die alle auch Kaspersky installiert haben ;)
 
Vielleicht ist kaspersky-labs.com auch eine "Fakeseite", die Malware verteilt und wird deswegen bei den DNS-Servern so gehandhabt. Die richtige Adresse ist auch www.kaspersky-labs.com, die wird auch nicht auf localhost umgeleitet.

Edit: Habe kein Kasperletheater installiert, nur Avira ohne die Bloatware wie Launcher, Webguard und Manipulation der Windowsfirewall (mache ich mit einem anderem Programm, da auch Teile von Avira blockiert werden).
 
Zuletzt bearbeitet:
Bob.Dig schrieb:
Das klingt nach einer vernünftigen Erklärung. :daumen:
Zum Vergrößern anklicken....

Nicht wirklich, weil www.kaspersky-labs.com das selbe ist wie kaspersky-labs.com. www. ist im Prinzip nur eine Subdomain davon, wenn mans platt erklären möchte. Warum das vom Domaininhaber so konfguriert wurde werden wir eher nicht rausfinden.
 
Zuletzt bearbeitet:
Die Erklärung passt schon, aber tatsächlich sind das wohl alles nicht offizielle Domains von Kaspersky. Deren Adresse lautet einfach kaspersky.com.

Warum der TE, nach dem er Kaspersky Free installiert hat, nun ausgerechnet einen nslookup auf "kaspersky-labs.com" gemacht hat, keiner weiß es.
 
Zuletzt bearbeitet:
Okay, d.h. also, sie wollen nur die Sub-Domain nutzen und die Haupt-Domain nicht und haben sie deshalb auf localhost umgeleitet. Interessant, dass so was geht.
 
Weil noscript einmal eine Subdomain aufruft (steht weiter oben) und einmal "....kaspersky-labs.com" und das ... deutet meines Wissens nach auf die Hauptdomain, da sonst die komplette Subdomain mit angezeigt werden würde. Falls ich falsch liege korriegiert mich bitte.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
DNS over TLS | angebliche Verbindungsprobleme laut Windows
Antworten
8
Aufrufe
2.840
gaym0r
G
A
Kaspersky 2013 (!) deinstallieren bei der Installation von Bitdefender
Antworten
7
Aufrufe
2.015
Kaethe
Kaethe
Z
  • Geschlossen
Was tun nach IP-Block durch Malwrebytes (Verbindung wurde trotzdem hergestellt)
Antworten
1
Aufrufe
1.656
BFF
BFF
L
Virus übers Firmennetzwerk übertragen?
Antworten
13
Aufrufe
2.578
NJay
NJay
P
Email Account gehackt
2 3 4
Antworten
63
Aufrufe
6.995
piepenkorn
piepenkorn
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz