image

4Chan-virus verspreidt zich via PNG-bestand

donderdag 12 augustus 2010, 11:25 door Redactie, 7 reacties

Microsoft waarschuwt voor een virus dat zich via het 4Chan-forum verspreidt en gebruikers vraagt zichzelf te infecteren. De gebruiker in kwestie ontvangt een PNG-afbeelding dat kwaadaardige inhoud bevat, maar in het PNG-formaat geen bedreiging vormt. De afbeelding vraagt het bestand als bitmap (.BMP) met .HTA extensie op te slaan en vervolgens weer te openen. Het aanpassen van het bestandstype zorgt ervoor dat de kwaadaardige JavaScript die erin verstopt zit kan worden uitgevoerd.

Vertrouwen
De eerste variant van deze aanval verscheen in 2008 en stond bekend als 4chan.js. De nieuwste afbeelding is "de volgende fase in de evolutie van de dreiging", aldus Michael Johnson van het Microsoft Malware Protection Center. "Dit scenario maakt gebruik van het vertrouwen dat een gebruiker in een bestandsformaat heeft en de onbekendheid met het .HTA formaat."

Inmiddels zijn er drie versies van het Trojaanse paard gedetecteerd., waarbij de laatste versie een bitmap met willekeurige variabelen aanmaakt. 4Chan neemt inmiddels stappen om verspreiding te voorkomen door de forum topics waarin het PNG-bestand voorkomt te sluiten. Microsoft adviseert gebruikers de instructies van de afbeeldingen niet op te volgen. "Sterker nog, we adviseren je om helemaal geen willekeurige .HTA-bestanden te openen", besluit Johnson.

Reacties (7)
12-08-2010, 12:01 door Anoniem
en wat gebeurd er als je bovenstaande png afbeelding uitvoert als hta?
12-08-2010, 12:27 door Security Scene Team
dit virusje is al oud nieuws. SST heeft inmiddels al een removal tooltje ter beschikking gezet.
je kunt 'm krijgen in de sectie Malware Analysis. check: Http://ssteam.info

Gr
12-08-2010, 13:51 door SirDice
Door Anoniem: en wat gebeurd er als je bovenstaande png afbeelding uitvoert als hta?
Het aanpassen van het bestandstype zorgt ervoor dat de kwaadaardige JavaScript die erin verstopt zit kan worden uitgevoerd.
12-08-2010, 13:51 door Rubbertje
Je moet er nog heel wat voor doen om besmet te raken... Volgens mij moet je het dan ook echt heel graag willen.
12-08-2010, 19:05 door Anoniem
volgens mij was er een versie van dit virus dat spamde op 4chan zelf, voor dat ze weer captcha aanzette. voor de rest weet ik niet wat hij doet
12-08-2010, 22:33 door Anoniem
Dus je malware-hta.PNG toegestuurd met het verzoek "sla deze op als bitmap met extensie .HTA en dan moet je het opnieuw openen?"
Wahahaha....
Sorry, maar dit gaat natuurlijk helemaal nergens over :P
08-09-2010, 09:10 door Anoniem
Wat ik wel weet, is dat 4chan nu wel down is. Helaasch...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.