Trojan exploit dan wel virus?

Mededelingen etc inzake het forum

Moderators: admin, Rallysport.nl, StevenK

Trojan exploit dan wel virus?

Berichtdoor ReverseDigital » do mei 17, 2007 16:43

Hallo,

toen ik vandaag dit forum bezocht sloeg m'n virusscanner alarm.
Een script dat uitgevoerd zou moeten worden door Internet Explorer werd geblokkeerd. Het gaat hierbij om JS/Exploit-BO.gen.

Een schermafdruk van de melding:
Afbeelding

Er wordt een poging gedaan de ActiveX-control "Microsoft Data Access - Remote Data Services (RDS)" te installeren. Schermafdruk van de melding:

Afbeelding


Op de site van McAfee (http://vil.nai.com/vil/content/v_130621.htm) lees ik dat een en ander te maken heeft met een vulnerability in MDAC, iets dat de server waarop de webpagina draait mee te maken heeft, i.c.m. het ontbreken van een patch hiervoor. Een passage uit de tekst van die site:

Characteristics -

-- Update April 25, 2007 --

A malicious website linked from a Google sponsored link, was found to be hosting multiple web exploits. The website hosted at www.smartt{hidden}.org contained a frame that is linking to www.expl{blocked}ff.net, where the actual exploits and malware are hosted.

The main webpage that is hosting the cocktail of exploits, when browsed using Internet Explorer, was proactively detected and blocked as JS/Exploit-BO.gen by VirusScan when script scanning is enabled.

The following vulnerabilities were found to be targeted:

Microsoft Data Access Components (MDAC) Code Execution Vulnerability (Exploit-MS06-014)
Microsoft Windows Shell Remote Code Execution Vulnerability (Exploit-CVE2006-3730)
Microsoft Windows Animated Cursor Remote Code Execution Vulnerability (Exploit-AniFile.c)
Apple QuickTime RTSP buffer overflow (Exploit-QtRTSP)
Sky Software FileView ActiveX control buffer overflow vulnerability (Exploit-CVE2006-5198)

At the time of writing, the malware installed was found to be downloading a bank password stealer and can be detected as PWS-Banker.gen.bt in the 5018 DATs.


Met name dat laatste stukje tekst over een "downloading a bank password stealer" was voor mij een trigger om het hier even te melden.

Aan de beheerders de vraag of de server wel up-to-patch is of dat we hier met een security-risk te maken hebben??
Avatar gebruiker
ReverseDigital
 
Berichten: 64
Geregistreerd: za nov 18, 2006 19:13
Woonplaats: Mierlo

Berichtdoor StevenK » do mei 17, 2007 17:03

Ik ben er - naar aanleiding van een opmerking van Walter G. - ook al mee bezig en omdat ik de melding zelf niet kreeg, kwam ik nog niet veel verder.

De server kan het niet zijn, omdat er geen Microsoft componenten op de server draaien of aanwezig zijn.

In het stuk wat je aanhaalt staat volgens mij ook de uitleg:
A malicious website linked from a Google sponsored link, was found to be hosting multiple web exploits. The website hosted at www.smartt{hidden}.org contained a frame that is linking to www.expl{blocked}ff.net, where the actual exploits and malware are hosted.

Het lijkt erop dat google advertenties misbruikt worden voor deze exploit. Ik haal nu de google-ads uit de site.
StevenK
Site Admin
 
Berichten: 5576
Geregistreerd: vr jan 18, 2002 10:37
Woonplaats: Ede

Berichtdoor ReverseDigital » do mei 17, 2007 17:09

StevenK schreef:Ik ben er - naar aanleiding van een opmerking van Walter G. - ook al mee bezig en omdat ik de melding zelf niet kreeg, kwam ik nog niet veel verder.

De server kan het niet zijn, omdat er geen Microsoft componenten op de server draaien of aanwezig zijn.

In het stuk wat je aanhaalt staat volgens mij ook de uitleg:
A malicious website linked from a Google sponsored link, was found to be hosting multiple web exploits. The website hosted at www.smartt{hidden}.org contained a frame that is linking to www.expl{blocked}ff.net, where the actual exploits and malware are hosted.

Het lijkt erop dat google advertenties misbruikt worden voor deze exploit. Ik haal nu de google-ads uit de site.


Ik heb inderdaad ook wel het vermoeden dat het daar zit, daarom had ik het ook vermeld, maar om het niet te beperken tot mijn vermoeden heb ik het hele plaatje van wat er gebeurde op mijn pc maar vermeld. Ik zit zelf ook in het vak, dus ik weet hoe moeilijk troubleshooting kan zijn als je maar een half verhaal hebt gehoord.
Avatar gebruiker
ReverseDigital
 
Berichten: 64
Geregistreerd: za nov 18, 2006 19:13
Woonplaats: Mierlo

Berichtdoor evsfoto » do mei 17, 2007 17:14

Steven,

Kreeg hem net ook, en nu alleen bij het schrijven van een antwoord, zal dus toch in Google Ads zitten want hier staat nog een advertentie, wellicht nog niet alles Google Ads uitgeschakeld?

Denk overigens forum algemeen nog niet schoon van ads.


Groeten, Erwin
evsfoto
 
Berichten: 24
Geregistreerd: vr jun 30, 2006 16:41

Berichtdoor StevenK » do mei 17, 2007 17:23

Als het goed is, zijn nu alle google ads weg.
StevenK
Site Admin
 
Berichten: 5576
Geregistreerd: vr jan 18, 2002 10:37
Woonplaats: Ede

Berichtdoor mastersevius » do mei 17, 2007 17:25

Ik heb als ik de site vernieuw nog steeds zoon rood blokje. zowel in firefox als in internet Explorer. Pas na een keer of 3, 4 vernieuwen krijg ik de site weer in beeld
Avatar gebruiker
mastersevius
 
Berichten: 1181
Geregistreerd: zo mei 21, 2006 16:10
Woonplaats: Emmeloord

Berichtdoor ReverseDigital » do mei 17, 2007 17:48

StevenK schreef:Als het goed is, zijn nu alle google ads weg.


Ik krijg nog steeds dezelfde meldingen...
Heb temp-files en cookies verwijderd, hetzelfde resultaat.
Avatar gebruiker
ReverseDigital
 
Berichten: 64
Geregistreerd: za nov 18, 2006 19:13
Woonplaats: Mierlo

Berichtdoor StevenK » do mei 17, 2007 17:56

Even voor mijn beeld: welke browser, welk OS ?
StevenK
Site Admin
 
Berichten: 5576
Geregistreerd: vr jan 18, 2002 10:37
Woonplaats: Ede

Berichtdoor ReverseDigital » do mei 17, 2007 18:02

StevenK schreef:Even voor mijn beeld: welke browser, welk OS ?


IE 7.0
Windows XP SP2, beiden up-to-patch

Wat me verder opvalt:
nadat ik cookies en temp-files had verwijderd, heb ik alle openstaande browser-vensters gesloten. Hierna rechtstreeks naar http://www.rallysport.nl/forum gegaan en daar was de melding weer. Als ik vervolgens een paar keer op de refresh-button klik (dus NIET de ActiveX installeren) dan komt de inlogpagina weer tevoorschijn. Vanaf dat moment lijkt het allemaal goed te gaan (althans, tot nu toe).
Avatar gebruiker
ReverseDigital
 
Berichten: 64
Geregistreerd: za nov 18, 2006 19:13
Woonplaats: Mierlo

Berichtdoor henk » do mei 17, 2007 18:03

hmmmm.....ik had het net ook op rallycarsforsale.
Avatar gebruiker
henk
 
Berichten: 1694
Geregistreerd: vr jun 24, 2005 16:40
Woonplaats: veenendaal

Berichtdoor MartijnS » do mei 17, 2007 18:31

Hier ook hetzelfde probleem! IE 7.0 en XP SP2.
Martijn Schouten
MartijnS
 
Berichten: 5532
Geregistreerd: vr jan 18, 2002 17:04
Woonplaats: Sprang-Capelle

Berichtdoor Holkers » do mei 17, 2007 18:33

Probleem is er, Steven is druk in de weer om het te lokaliseren en op te lossen. Draai zelf onder Vista B. samen met IE 7.0 en ook hier problemen alsmede op andere sites.
If the world didn't suck, we would all fall off!
Avatar gebruiker
Holkers
 
Berichten: 6363
Geregistreerd: ma maart 24, 2003 19:07
Woonplaats: Valkenburg

Berichtdoor Ed555 » do mei 17, 2007 21:20

Het probleem (welke ik ook had) lijkt opgelost. :P

Steven, weet je waardoor dit veroorzaakt werd of is het "vanzelf" over gegaan?
Ed555
 
Berichten: 146
Geregistreerd: di jun 11, 2002 21:13
Woonplaats: Rhoon

Berichtdoor StevenK » do mei 17, 2007 21:26

Ed555 schreef:Het probleem (welke ik ook had) lijkt opgelost. :P

Steven, weet je waardoor dit veroorzaakt werd of is het "vanzelf" over gegaan?

We hebben gevonden waardoor het probleem veroorzaakt werd.
StevenK
Site Admin
 
Berichten: 5576
Geregistreerd: vr jan 18, 2002 10:37
Woonplaats: Ede

Berichtdoor Ed555 » do mei 17, 2007 21:31

Knap werk !!

Kan je, evt via een PB, uitleggen wat het probleem was.
Op het ImRA forum hadden we ook last van dit "virus".

Ik wil graag zeker weten dat het nu voorbij is.
Ed555
 
Berichten: 146
Geregistreerd: di jun 11, 2002 21:13
Woonplaats: Rhoon

Volgende

Keer terug naar Huishoudelijk

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers. en 0 gasten