Trojan exploit dan wel virus?
Geplaatst: do mei 17, 2007 16:43
Hallo,
toen ik vandaag dit forum bezocht sloeg m'n virusscanner alarm.
Een script dat uitgevoerd zou moeten worden door Internet Explorer werd geblokkeerd. Het gaat hierbij om JS/Exploit-BO.gen.
Een schermafdruk van de melding:
Er wordt een poging gedaan de ActiveX-control "Microsoft Data Access - Remote Data Services (RDS)" te installeren. Schermafdruk van de melding:
Op de site van McAfee (http://vil.nai.com/vil/content/v_130621.htm) lees ik dat een en ander te maken heeft met een vulnerability in MDAC, iets dat de server waarop de webpagina draait mee te maken heeft, i.c.m. het ontbreken van een patch hiervoor. Een passage uit de tekst van die site:
Characteristics -
-- Update April 25, 2007 --
A malicious website linked from a Google sponsored link, was found to be hosting multiple web exploits. The website hosted at www.smartt{hidden}.org contained a frame that is linking to www.expl{blocked}ff.net, where the actual exploits and malware are hosted.
The main webpage that is hosting the cocktail of exploits, when browsed using Internet Explorer, was proactively detected and blocked as JS/Exploit-BO.gen by VirusScan when script scanning is enabled.
The following vulnerabilities were found to be targeted:
Microsoft Data Access Components (MDAC) Code Execution Vulnerability (Exploit-MS06-014)
Microsoft Windows Shell Remote Code Execution Vulnerability (Exploit-CVE2006-3730)
Microsoft Windows Animated Cursor Remote Code Execution Vulnerability (Exploit-AniFile.c)
Apple QuickTime RTSP buffer overflow (Exploit-QtRTSP)
Sky Software FileView ActiveX control buffer overflow vulnerability (Exploit-CVE2006-5198)
At the time of writing, the malware installed was found to be downloading a bank password stealer and can be detected as PWS-Banker.gen.bt in the 5018 DATs.
Met name dat laatste stukje tekst over een "downloading a bank password stealer" was voor mij een trigger om het hier even te melden.
Aan de beheerders de vraag of de server wel up-to-patch is of dat we hier met een security-risk te maken hebben??
toen ik vandaag dit forum bezocht sloeg m'n virusscanner alarm.
Een script dat uitgevoerd zou moeten worden door Internet Explorer werd geblokkeerd. Het gaat hierbij om JS/Exploit-BO.gen.
Een schermafdruk van de melding:
Er wordt een poging gedaan de ActiveX-control "Microsoft Data Access - Remote Data Services (RDS)" te installeren. Schermafdruk van de melding:
Op de site van McAfee (http://vil.nai.com/vil/content/v_130621.htm) lees ik dat een en ander te maken heeft met een vulnerability in MDAC, iets dat de server waarop de webpagina draait mee te maken heeft, i.c.m. het ontbreken van een patch hiervoor. Een passage uit de tekst van die site:
Characteristics -
-- Update April 25, 2007 --
A malicious website linked from a Google sponsored link, was found to be hosting multiple web exploits. The website hosted at www.smartt{hidden}.org contained a frame that is linking to www.expl{blocked}ff.net, where the actual exploits and malware are hosted.
The main webpage that is hosting the cocktail of exploits, when browsed using Internet Explorer, was proactively detected and blocked as JS/Exploit-BO.gen by VirusScan when script scanning is enabled.
The following vulnerabilities were found to be targeted:
Microsoft Data Access Components (MDAC) Code Execution Vulnerability (Exploit-MS06-014)
Microsoft Windows Shell Remote Code Execution Vulnerability (Exploit-CVE2006-3730)
Microsoft Windows Animated Cursor Remote Code Execution Vulnerability (Exploit-AniFile.c)
Apple QuickTime RTSP buffer overflow (Exploit-QtRTSP)
Sky Software FileView ActiveX control buffer overflow vulnerability (Exploit-CVE2006-5198)
At the time of writing, the malware installed was found to be downloading a bank password stealer and can be detected as PWS-Banker.gen.bt in the 5018 DATs.
Met name dat laatste stukje tekst over een "downloading a bank password stealer" was voor mij een trigger om het hier even te melden.
Aan de beheerders de vraag of de server wel up-to-patch is of dat we hier met een security-risk te maken hebben??