Info: hxxp://www.mpx.no sine nettsider infisert

7 innlegg i emnet

Skrevet (endret)

Nettsidene til mpx.no er for øyeblikket infisert med Trojan.Exploit / HTML/Malicious.ActiveX.Gen (BitDefender / Avira).

Det er sendt beskjed, men hvor raske de er til å gjøre noe med saken, vites ikke.

Malwaren bruker iframe og redirecter til andre sider som inneholder malware.

Følgende AV program evner å detektere malwaren:

Klikk her (klikk for å vise/skjule)

a-squared 4.0.0.93 2009.02.20 Trojan-Downloader.JS.Agent!IK

AhnLab-V3 2009.2.21.0 2009.02.20 -

AntiVir 7.9.0.85 2009.02.20 HTML/Malicious.ActiveX.Gen

Authentium 5.1.0.4 2009.02.20 -

Avast 4.8.1335.0 2009.02.20 VBS:Obfuscated-gen

AVG 8.0.0.237 2009.02.20 Exploit

BitDefender 7.2 2009.02.20 Trojan.Exploit.SSQ

CAT-QuickHeal 10.00 2009.02.20 -

ClamAV 0.94.1 2009.02.20 -

Comodo 983 2009.02.20 -

DrWeb 4.44.0.09170 2009.02.20 -

eSafe 7.0.17.0 2009.02.19 -

eTrust-Vet 31.6.6368 2009.02.20 -

F-Prot 4.4.4.56 2009.02.20 -

F-Secure 8.0.14470.0 2009.02.20 -

Fortinet 3.117.0.0 2009.02.20 -

GData 19 2009.02.20 Trojan.Exploit.SSQ

Ikarus T3.1.1.45.0 2009.02.20 Trojan-Downloader.JS.Agent

K7AntiVirus 7.10.638 2009.02.20 -

Kaspersky 7.0.0.125 2009.02.20 -

McAfee 5530 2009.02.19 -

McAfee+Artemis 5530 2009.02.19 -

Microsoft 1.4306 2009.02.20 -

NOD32 3873 2009.02.20 -

Norman 6.00.06 2009.02.20 -

nProtect 2009.1.8.0 2009.02.20 -

Panda 10.0.0.10 2009.02.20 -

PCTools 4.4.2.0 2009.02.20 -

Prevx1 V2 2009.02.21 -

Rising 21.17.42.00 2009.02.20 -

SecureWeb-Gateway 6.7.6 2009.02.20 Script.Malicious.ActiveX.Gen

Sophos 4.39.0 2009.02.20 Mal/Iframe-G

Sunbelt 3.2.1855.2 2009.02.17 -

Symantec 10 2009.02.20 -

TheHacker 6.3.2.3.261 2009.02.20 -

TrendMicro 8.700.0.1004 2009.02.20 -

VBA32 3.12.10.0 2009.02.20 -

ViRobot 2009.2.20.1617 2009.02.20 -

VirusBuster 4.5.11.0 2009.02.20 JS.ActiveXploit.Gen

Scriptet malwaren legger inn har flere angrepsvinkler. Den sjekker om du kjører IE evt. Firefox etc og ut fra det velger den akuelle iframe:

<iframe width=100 height=0 src=flash.htm></iframe>

<iframe width=50 height=0 src=14.htm></iframe>

<iframe width=100 height=0 src=office.htm></iframe>

<iframe src=02.htm width=100 height=0></iframe>

<iframe width=100 height=0 src=real.htm></iframe>

Disse har gjerne instruksjoner om å koble seg opp til en bestemt ip/nettside hvor den laster ned annen malware. Denne prosessen går automatisk, men filer som lastes ned vil i de aller fleste tilfeller være noe DU må ta en stilling til.

flash.htm: regner med det er svakheter i flash_player som utnyttes (den kan sjekke om det er IE eller Firefox du benytter, hvilken versjon flash-playeren har og ut fra det kjøre 'riktig' prosess for å hente ned mer malware)

office.htm: Virker som om det har noe med utnytting av Snapshot Viewer

Den kan også benytte clsid ('id' til ActiveX component) for å laste ned malware. I dette tilfeller er clsid'en knyttet til et RDS (Remote Data Services) objekt. Den har noen kjente sårbarheter.

real.htm: Antar det utnytter sårbarheter i Real Player

src=02.htm og src=14.htm: Usikker på hvilken sårbarhet den utnytter

Dette aktualiserer viktigheten av å holde sine programmer oppdatert.

Man kan bruke F-secure Health Check eller Secunia til å sjekke tilstanden på div. programmer.

Edit:

NB! mpx.no skal være trygt å bruke nå

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

norton burde vel klare3 denne og vel?? tenker på NIS 2009

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

mpx.no er tatt ned for 'vedlikehold', ser jeg...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ser ut til at noe skjer ihvertfall!

Nettstedet på www.mpx.no er rapportert som et angrepsnettsted er blokkert basert på sikkerhetsinnstillingene dine.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Nettstedet er oppe igjen, så de har nok kjørt en backup. Om det vil forhindre videre SQL-injeksjon gjennstår å se.

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nettstedet er oppe igjen, så de har nok kjørt en backup. Om det vil forhindre videre SQL-injeksjon gjennstår å se.

det er ikke over..

se selv: http://www.google.no/interstitial?url=http://www.mpx.no/

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

For meg kan det se ut til å være over akkurat i dette øyeblikket, selv om Google fortsatt har svartelistet MPX. Kan sikkert ta noen timer (eller dager) før Google oppdaterer den svartelisten. Hadde dog vært kjekt med en pressemelding fra MPX på infeksjonen og sånt, men det får vi sikkert via diverse itaviser på Mandag ;)

Kilde: http://linkscanner.explabs.com/linkscanner...tp://www.mpx.no

safe.gif Congratulations! LinkScanner Online did not find any exploits.

-ZnarreZ-

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive