[LØST] Ny norsk nettside infisert av malware

63 innlegg i emnet

Skrevet (endret)

prøvde å gå inn på www.omplasseringavhunder.no og får beskjed av norton om et inntrengningsforsøk. sjekk det ut, den som føler behov..

Endret av Winxzy
For deres egen sikkerhet ber vi dem om og IKKE gå inn på siden. // Moderator
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ja, den prøver å utnytte et sikkerhetshull i Adobe ved bruk av javascript, ser det ut til.

Ikke gå inn på den siden!

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hmm, jeg kom ikke over noen trusler. Hvor er Adobe hullet? Og har javascript strengt tatt noe med det å gjøre?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jepp, dette er slike angrep som er nye nå.!

Russland / Brasil og Kina er de værste landene på malware fronten.

Og om man ser i kildekoden er det klart og tydelig en exploit som blir kjørt.

OG personen får infisert botnet. Videre ut ifra scriptet ser det ut til at den "disabler" firewallen din, og pøser på med andre nettsider så du får en ordenlig fin malware infisert pc!

Hmm, jeg kom ikke over noen trusler. Hvor er Adobe hullet? Og har javascript strengt tatt noe med det å gjøre?

Kan enten være nettsiden eller det kan være pcen din som blir infisert.

Om du ikke ser det, men andre har sett det er du nok trolig selv infisert nå!

I just go say MBAMM!

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Tittet selv litt på exploitene. Før jeg fortsette vil jeg ADVARE dere mot å besøke disse domenene. Jeg fikk selv ikke exploit da jeg brukte siste versjon av Opera og besøkte hovedsiden (index?) ved domenene som jeg nevner under. Exploitene ligger på undersider hos de, men denne gjengen tjener GODE penger på å infisere pc'er så derfor bør dere være svært forsiktig. For alt jeg vet, kan de skjule exploit mot andre nettlesere enn de som er sårbare for å unngå å bli oppdaget.

Det kan for meg se ut til å blitt plantet TO javascript-exploiter da jeg sjekket rundt 07:30(am) i dag.

Første exploit

Den første forsøker tilsynelatende å hente noe hos domenet "8addition.info" ved å legge inn iframes kodet i javascriptet. Jeg forsøkte selv å hente ut informasjonen der, men fikk det ikke til. Det kan være at de sjekker hvilken nettleser brukeren har via webserveren sin og returnerer blankt om det ikke er IE, ev. nettleseren de ønsker å exploite.

Andre Exploit

Den andre forsøker å hente informasjon via 3 iframes hos "thehugetitstop.cn" (dvs 3 undersider). Da det var veldig mye arbeid i å analysere dette pga alt var encodet i javascript, tok jeg meg bare bryet å sjekke opp den første noe grundig... De alle tre hadde til felles at de forsøkte å hente hver sin informasjon hos "gianthighestfind.cn".

Exploit 2.1 (første av de tre på den andre iframen) ble redirectet via "gianthighestfind.cn" til en underside hos "ralcofic.cn". Tilsynelatende kan det se ut som den forsøker å skaffe en SWF fil ved det domenet. Her er det velkjent at Adobe har sikkerhetsproblemer ved eldre versjoner av Adobe FlashPlayer, men en skal ikke ta for gitt at den nye versjonen er patchet mot dette hullet.

Exploit 2.2 ble redirectet via "gianthighestfind.cn" til domenet "vpsspeedin.ru". Den siden hadde mye javascript som omhandlet navigator.plugins og et forsøk på å laste ned en pdf-fil. Her kan det tilsynelatende se ut til at den forsøker å kjøre et skadelig pdfdokument i nettleseren. Adobe AcrobatReader har for øyeblikket kjente sårbarheter som ennå ikke er tettet. Mener å huske på det var relatert til JavaScript i Acroboat Reader. Et tips her kan være å deaktivere pluggins som støtter acroboat reader og heller tvinge til å laste slike filer ned for å manuelt åpne de, gjerne via annen pdf-leser enn Acroboat Reader, som f.eks. FoxIT.

Exploit 2.3. Her fikk jeg bare en 404 hos "gianthighestfind.cn"

Konklusjonen min er derfor, hold dere unna .ru og .cn sider og deaktiver unødvenige pluggins som Adobe Acrobat Reader. Det kan også være lurt å slå av funksjoner som ikke brukes, f.eks. programvaretilegg, java og javascript og heller slå de på når de skal brukes. I Opera deaktiveres Acroboat Reader ved å gå til Instillinger (ALT + P), velg Nedlastinger og fjern krysset for Skjul filtyper åpnet med Opera og skriv pdf i søkebosken. Dobbelklikk der etter på den med filendelsen pdf og velg vis Nedlastingsvindu. Java, programvaretilegg (pluggins) og JavaScript deaktiveres/aktiveres enklest ved å trykke F12 og fjern kryssene forran de.

-ZnarreZ-

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Konklusjonen min er derfor, hold dere unna .ru og .cn sider og deaktiver unødvenige pluggins som Adobe Acrobat Reader. Det kan også være lurt å slå av funksjoner som ikke brukes, f.eks. programvaretilegg, java og javascript og heller slå de på når de skal brukes. I Opera deaktiveres Acroboat Reader ved å gå til Instillinger (ALT + P), velg Nedlastinger og fjern krysset for Skjul filtyper åpnet med Opera og skriv pdf i søkebosken. Dobbelklikk der etter på den med filendelsen pdf og velg vis Nedlastingsvindu. Java, programvaretilegg (pluggins) og JavaScript deaktiveres/aktiveres enklest ved å trykke F12 og fjern kryssene forran de.

For og legge til en ting til. Firefox har et meget bra script som heter Noscript denne blokker javascript / java / flash.

Og er en utmerket besyttelse for dere som bruker firefox!

Videre som ZnarreZ ikke sier her også, er faktisk at den henter informasjon fra "erotic.ru"

Som jeg beskrev tidligere så er Russland, Kina, Brasil på toppen av malware, og det er slik de tjener penger. Folk leier inn personer til og infisere sider, folk går på siden. og blir infisert.

Man trenger faktisk ikke bli infisert, Jeg har oppdaget selv sider hvor de infiserer selve systemet av siden.

Dette gjelder spesielt nettbutikker. Overtar databasen med brukere.

Når dette er gjort og "Ola normann" kommer og skal handle får jo russland all informasjonen om personen.

Et krav når man registrerer seg på diverse sider, nettbutikker er jo bla.

Fødselsnr / Personnr

Fullt Navn

Adresse

Telefonnr.

Kortnr / Visanr / Mastercard.

Og da kan du jo si at personen som har gjort dette med siden sitter med DIN idientiet, DITT kortnr. Og de missbruker det ikke, de bare selger informasjonen videre!

Vel det var det jeg hadde og si!

Don't visit the sites on the net, thats harmful for you or your computer! :thumbup:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Videre som ZnarreZ ikke sier her også, er faktisk at den henter informasjon fra "erotic.ru"

Beklager, den "overså" jeg nesten, da det bare var lagt ut link bestående av "?" i høyre hjørne på nettsiden. Der er derimot ingen ting som tilsynelatende lastes ned der i fra, bare en gratis plassert reklame av botene de tullingene bruker under infisering.

Bra du nevnte firefox sin NoScript, som kan lastes ned fra: https://addons.mozilla.org/firefox/addon/722

-ZnarreZ-

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Legg også merke til at Exploiten de kjører, vil disable din Firewall! (ved ot stoppe services)

Om du har besøkt siden uten den rette beskyttelsen så post gjerne en MBAMM logg samt Hijackthis logger i vår Logganalyse 1-2-3

Så vi kan få ta en kikk på den!

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

norton blokkerte inntrengningsforsøket da jeg var inne på den siden tidligere. norton klassifiserte det som høy-risiko. har kjørt full sys skan med norton. og intet malware rapporterer norton. kjørte også mbam hurtig skan, og ingen filer infisert der heller. firewallen har ikke blitt slått av. virker på meg som norton taklet den oppgaven bra.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ser ut som siden har blitt fikset? Eller så har jeg blitt infisert.. :lol:

Skulle sjekke hvilken orm Avast meldte ifra om at det var, siden jeg ikke kunne finne noe i loggen. :P

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ser ut som siden har blitt fikset? Eller så har jeg blitt infisert.. :lol:

Skulle sjekke hvilken orm Avast meldte ifra om at det var, siden jeg ikke kunne finne noe i loggen. :P

får inntrykk av det er en liten hissig variant dette her. noe man kan bidra med?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ser ut som siden har blitt fikset? Eller så har jeg blitt infisert.. :lol:

Skulle sjekke hvilken orm Avast meldte ifra om at det var, siden jeg ikke kunne finne noe i loggen. :P

Si det på denne måten.

Har du javascript disabled vil ikke scripted bli executed :P

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

FF med addon NoScript viser dette akkurat nå

360372.jpeg

edit: Har fulgt rådet VG kom med og disablet javascript i adobe også tidligere btw.

Endret av KarpeSkrotum
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg har slått av Java i Adobe, ja. Men fikk ikke noe beskjed what so ever nå når jeg gikk inn. Skannet med Mbam og hijackthis etterpå, og kunne ikke finne noe mistenkelig. PCen kjører fint enda, og har ikke merket noe uvanlig. Tenker det går bra, men uansett. :P

Hvilken skade kan en slik orm gjøre? Noen eksempler?

EDIT:

Var bare avast som "husket siste handling" og utførte samme operasjon, tror jeg. Gikk inn på en annen del av siden, og fikk denne beskjeden:

360377.jpeg

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Morsome er her at avasten til KongKlykken er på jordet :P

Er faktisk index.php som er infisert ikke omplasering.php jeg gikk nettopp igjennom kildekoden! :P

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Joa, men fikk samme beskjed når jeg gikk inn på hovedsiden første gangen. :) Kanskje hele siden er infisert?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jepp, hele domene er infisert. Det er det som er poenge. Forresten du lurte på skade ?

Om jeg sier.

Kredittyveri, Identifets tyveri.

Var det fare nok da ?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

neh, når det kommer til kredittyveri har jeg ikke noe penger, så der er det lite å hente. :P

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Vel, jeg er ikke blitt infisert. Er alltid varsom og har en Linux server som passer på all inngående trafikk på nettet, den rapporterte ingenting via. AVG eller Avast. Merkelig.

Men ingen viruser på mitt nett nå iallefall :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

hva er prognosen for dette og liknende malware. er dette noe som kommer til å øke i tiden fremover?

og sist men ikke minst. om man kommer over infiserte sider, hvor bør det rapporteres noen retningslinjer for hvor det bør meldes/rapporteres?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

hva er prognosen for dette og liknende malware. er dette noe som kommer til å øke i tiden fremover?

og sist men ikke minst. om man kommer over infiserte sider, hvor bør det rapporteres noen retningslinjer for hvor det bør meldes/rapporteres?

Såfremt hullet ikke fikses av programvareutviklerene av Adobe (?) eller nettleserene er ikke internett et trygt sted. Tro meg, slike hull finnes overalt, det er bare snakk om tid før de blir fjernet. I mellomtiden anbefaler jeg deg å holde deg unna ;)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

hva er prognosen for dette og liknende malware. er dette noe som kommer til å øke i tiden fremover?

og sist men ikke minst. om man kommer over infiserte sider, hvor bør det rapporteres noen retningslinjer for hvor det bør meldes/rapporteres?

Prognosen er stigende.

For og sitere når jeg var på paranoia 2008 seminaret ifjor.

Virus er for scriptkiddes, de eksiterer ikke lenger, dette er 20 år gammlet. Det nye nå er malware, folk bruker malware til pengeutpresselse. Kredittyveri, Identietstyveri

Malware har steget med 10 ganger de siste 2 årene eller noe.

Folk infiserer nettsider med databaser.

Det trengs ikke mer en gjestebok for og infisere nettsiden din.

toppen av .no domener som er infiserte er faktisk statlige sider.

Andre sider er nettbutikker, med åpen HTML tilkobling (delvis en gjestebok koblet til databasen)

Folk vet ikke om det.

et lite scenario vi fikk forestille oss:

Paranoia Scenario (klikk for å vise/skjule)

Ola normann surfer inn på www.eksempel.no

Denne siden er allerede blitt infisert.

Ola finner ut at han vil kjøpe seg noe på siden (et telt foreksempel)

Ola registrerer seg på siden med følgende informasjon.

Fornavn Etternavn

Adresse

Postnr Postste

Telefonnr

Videre når han skal betale må han følge ut følgende

VISANR / MASTERCARDNR / KORTNR

Mulig personnr.

Når dette er gjort, blir bestillingen fullført.

1 uke senere får Ola Normann teltet sitt i posten og aner fred og ingen fare.

Han får også et brev fra butikken som sier noe som

"vi beklager at din leverenase har tatt så lang tid, her har du 200 kr som plaster på såret"

Ola normann blir da kjempefornøyd.

Det ola normann ikke vet er at dette er 200 kr fra KARI Normann. Som hadde kjøpt hundemat på samme siden 3 dager før!

Personene bak angrepet selger da informasjonen om både OLA og KARI på sine lukkede forum.

Og trykker identietskort eller kreditkort med dem sitt navn!

Så jeg vet ikke ?

Ville du handlet på www.eksempel.no da ?

For dere som lurer på seminaret så her er noe fra dette.

http://www.digi.no/792359/overvaaker-alle-norske-nettsteder

http://www.digi.no/792523/jeg-ville-byttet...is-jeg-var-dere

EDIT: Ryddet opp teksten med Spolier tags

EDIT: La til noen linker

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Siden har tilsynelatende fått langt mer besøk av ulumske boter som har tatt over hele greia og erstattet med reint spam og virusinfiserende javakoder.

Begynner faktisk å bli på tide å kontakte eieren/ansvarlig av domenet for å unngå videre infeksjon i landet for de er tydligvis ikke klar over det selv da de ikke har i det minste slått av serveren/dekativert hele greia.

-ZnarreZ-

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

i så tilfelle man skal kontakte eieren av serveren, hvem tar seg av det, og hvordan går man eventuelt frem for å gjøre det? :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

ItPro skulle hatt guider for slikt. Sammen med andre ting som hvis man kommer over barneporno og andre ting som 'ola normann' kanskje ikke vet. Seriøs nettsted som tar sitt samfunnsansvar (?)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive