Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
oneworld.nl verspreidt malware!
13-09-2012, 17:46 door Anoniem, 9 reacties
De zoveelste site...
oneworld.nl verspreidt malware via kwaadwillende Java applet die gehost wordt op
random namen eindigend op .dyndns.tv
Geen nieuws meer eigenlijk.
oneworld.nl verspreidt malware via kwaadwillende Java applet die gehost wordt op
random namen eindigend op .dyndns.tv
Geen nieuws meer eigenlijk.
Reacties (9)
Inmiddels ontdekt dat de malware waarschijnlijk verspreid werd via de advertentiehoster globalvillagemedia.nl die men op die site gebruikt. Wellicht treft dit probleem dus ook andere sites.
globalvillagemedia.nl heeft in ieder geval haar laatste advertentie naar ons gestuurd.
net als alle openx hosters die ik kan herkennen met een paar regexps trouwens.
ik heb het helemaal gehad met openx.
globalvillagemedia.nl heeft in ieder geval haar laatste advertentie naar ons gestuurd.
net als alle openx hosters die ik kan herkennen met een paar regexps trouwens.
ik heb het helemaal gehad met openx.
14-09-2012, 10:34 door
Bitwiper
Dank voor het melden!
Helaas ben ik nu niet in de gelegenheid om te kijken wat bijv. de het detectiepercentage van virustotal is... Iemand anders wellicht? PS doe voorzichtig!
Helaas ben ik nu niet in de gelegenheid om te kijken wat bijv. de het detectiepercentage van virustotal is... Iemand anders wellicht? PS doe voorzichtig!
Hij werd gisteren rond 17:00 uur in ieder geval nog niet herkend door NOD32.
Maar hij "werkte" ook niet op Java 7 update 7.
Het waren dit soort namen:
http://lowsixdrysolve.dyndns.tv/news/zw521m95j2yja2gao11wzym2a1l1y9z.jar
http://ahijunku.dyndns.tv/news/i0zo5fmzaz0fjww2foiizalmaa2m01o.jar
(inmiddels allang weer uit de lucht natuurlijk)
Maar hij "werkte" ook niet op Java 7 update 7.
Het waren dit soort namen:
http://lowsixdrysolve.dyndns.tv/news/zw521m95j2yja2gao11wzym2a1l1y9z.jar
http://ahijunku.dyndns.tv/news/i0zo5fmzaz0fjww2foiizalmaa2m01o.jar
(inmiddels allang weer uit de lucht natuurlijk)
Dit was de inhoud van een van de files (die ik al weer geremoved heb helaas):
Archive: i0zo5fmzaz0fjww2foiizalmaa2m01o.jar
Length Method Size Ratio Date Time CRC-32 Name
-------- ------ ------- ----- ---- ---- ------ ----
1703 Defl:N 1052 38% 09-13-12 11:13 da3470b6 at/bombBoxTyro.class
4713 Defl:N 2777 41% 09-13-12 11:13 df0b0d7b at/chamberEgotismAni.class
7318 Defl:N 4651 36% 09-13-12 11:13 8fcb5adf at/fiercerYid.class
13593 Defl:N 7726 43% 09-13-12 11:13 94de7e36 at/peaAlign.class
110936 Defl:N 16035 86% 09-13-12 11:56 336746c5 at/string.class
0 Defl:N 2 0% 09-13-12 11:13 00000000 META-INF/
96 Defl:N 94 2% 09-13-12 11:13 03cd79e6 META-INF/MANIFEST.MF
-------- ------- --- -------
138359 32337 77% 7 files
Archive: i0zo5fmzaz0fjww2foiizalmaa2m01o.jar
Length Method Size Ratio Date Time CRC-32 Name
-------- ------ ------- ----- ---- ---- ------ ----
1703 Defl:N 1052 38% 09-13-12 11:13 da3470b6 at/bombBoxTyro.class
4713 Defl:N 2777 41% 09-13-12 11:13 df0b0d7b at/chamberEgotismAni.class
7318 Defl:N 4651 36% 09-13-12 11:13 8fcb5adf at/fiercerYid.class
13593 Defl:N 7726 43% 09-13-12 11:13 94de7e36 at/peaAlign.class
110936 Defl:N 16035 86% 09-13-12 11:56 336746c5 at/string.class
0 Defl:N 2 0% 09-13-12 11:13 00000000 META-INF/
96 Defl:N 94 2% 09-13-12 11:13 03cd79e6 META-INF/MANIFEST.MF
-------- ------- --- -------
138359 32337 77% 7 files
Openx servers herkennen met een reguliere expressie lukt je niet hoor. Dan moet je toch echt naar de packet content kijken.
14-09-2012, 13:13 door
Divitiacus
Virustotal resultaat:
Normalized URL: http://www.oneworld.nl/
Detection ratio: 0 / 30
Analysis date: 2012-09-14 09:52:36 UTC ( 1 uur, 20 minuten ago )
File scan: The URL response content could not be retrieved or it is some text format (HTML, XML, CSV, TXT, etc.), hence, it was not enqueued for antivirus scanning.
Normalized URL: http://www.oneworld.nl/
Detection ratio: 0 / 30
Analysis date: 2012-09-14 09:52:36 UTC ( 1 uur, 20 minuten ago )
File scan: The URL response content could not be retrieved or it is some text format (HTML, XML, CSV, TXT, etc.), hence, it was not enqueued for antivirus scanning.
Door Divitiacus: Virustotal resultaat:
Normalized URL: http://www.oneworld.nl/
Detection ratio: 0 / 30
Analysis date: 2012-09-14 09:52:36 UTC ( 1 uur, 20 minuten ago )
File scan: The URL response content could not be retrieved or it is some text format (HTML, XML, CSV, TXT, etc.), hence, it was not enqueued for antivirus scanning.
Normalized URL: http://www.oneworld.nl/
Detection ratio: 0 / 30
Analysis date: 2012-09-14 09:52:36 UTC ( 1 uur, 20 minuten ago )
File scan: The URL response content could not be retrieved or it is some text format (HTML, XML, CSV, TXT, etc.), hence, it was not enqueued for antivirus scanning.
Kijk ook even wat er staat:
The URL response content could not be retrieved or it is some text format (HTML, XML, CSV, TXT, etc.), hence, it was not enqueued for antivirus scanning.
Bestand is niet gescanned dus..
Door Anoniem: Openx servers herkennen met een reguliere expressie lukt je niet hoor. Dan moet je toch echt naar de packet content kijken.
Een reguliere expressie op de URL. Het zal niet 100% werken maar wat werkt er wel 100% in dit wereldje...
Door Anoniem:
Bestand is niet gescanned dus..
Bestand is niet gescanned dus..
Nee maar dat heeft ook geen zin.
Zoals al beschreven (en zoals meestal in dit soort gevallen) zit het probleem niet bij oneworld.nl zelf maar bij zo'n banner plakker.
Die banners zijn gelinkt aan een URL die een stukje javascript stuurt wat vervolgens een plaatje ophaalt.
Die javascript wordt door de hacker uitgebreid met een link naar zijn trojan, die in dit geval weer gehost werd op een dyndns.tv site.
Als je dus iets wilt scannen dan komt voornamelijk die dyndns.tv site in aanmerking (en die is er niet meer), en daarnaast de javascript op de banner hoster die wellicht ook door bepaalde scanners herkend wordt als de hacker een vast patroon gebruikt om zijn besmettingen uit te voeren.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
