[XP]IE6 SP2: Exploit CVE-2005-1790

Ik wilde vandaag een site bezoeken welke doorlinkte naar een andere site etc welke uiteindelijk uitkwam op een site die gebruik maakte van Explot.CVE-2005-1790. Hierdoor zag ik voor mn ogen verschillende virussen in mn computer geplaatst worden welke (hoop ik direct gestopt en) verwijderd zijn door mijn virusscanner. Nu vraag ik me alleen af wat de oorzaak kan zijn dat dit toch kon gebeuren aangezien ik de laatste updates voor deze windows versie heb geinstalleerd en een volledig up-to-date virusscanner draai.

Ik hoop ook dat iemand mij mss wat meer duidelijkheid kan geven wat voor schade dit heeft kunnen toebrengen aan mn systeem.

Voor de volledigheid: de site waar ik uitkwam en waar de code vanaf kwam: http:// www. disney. com
Ik heb de link voor de zekerheid in delen geplaatst zodat niemand perongeluk deze site kan bezoeken. Het is meer voor iemand die er wat verstand van heeft dat deze mss in de broncode kan achterhalen welke virussen geinstalleerd worden.

[edit]
Ook meteen ff in mn logboek gekeken en daar kwam ik 2 vermeldingen tegen:
http:// toolbarbucks. biz/ dl/ adv470/ x.chm
http:// www.traff4ppc .biz/ / parthner3// main.chm

Mss dat dat ook nog kan helpen.
Serial-sites zijn nog altijd niet toegestaan, zie ook Het algemeen beleid #warez

[ Voor 18% gewijzigd door pasta op 11-02-2006 14:28 . Reden: url veranderd :) ]

Toch niet helemaal. Na een virusscan die ik erna deed zijn er toch nog 10 besmette bestanden terug gevonden. Het heeft dus wel enigzins invloed gehad. Ik hoop nu dus ook dat mn systeem verder veilig blijft.

Ik heb eventueel ook een zipje gemaakt waarin alle gevonden virussen zijn opgeslagen. Hierbij horen enkele Java classes. Mss dat iemand met verstand hiervan kan zien wat het virus allemaal probeert te doen.

BackSlash32 schreef op donderdag 09 februari 2006 @ 21:12:
kb905915 ook geinstalleerd?

Deze staat idd geinstalleerd.
Ik had ook gegoogled op de virus-code en dan kom ik via via op een pagina terecht (die naar mijn mening enigzins gedateerd is) die aangeeft dat er toentertijd nog geen patch beschikbaar was (vorig jaar november dacht ik zo). Kortom, beetje vreemde situatie dus.

Als je goed leest staat er ook dat ik niet van plan was naar deze site te gaan. Ik werd op een of andere manier via via doorgelinkt hiernaar. Heb je weinig van in de hand als dat soort dingen gebeuren. Ik hoop dus nu maar dat er geen resten zijn achter gebleven.

Na een beetje rond gekeken te hebben heb ik zelfs het idee dat het mss een exploit was op het nog wel gepatchte wmf lek. De patch die genoemd wordt staat enkel ook gewoon geinstalleerd. Ben dus reuze benieuwd wat dit nu weer was.

Verwijderd schreef op vrijdag 10 februari 2006 @ 22:52:
Je moet je pas zorgen maken als er een virus actief is en NIET word herkend door je virusscanner

Dat is het probleem dus ook. De exploit kon dus wel gewoon worden uitgevoerd. De geinstalleerde virussen werden dan wel direct herkend, maar dat geeft denk ik op zich niet een veiliger gevoel.

Ik weet ook wel dat ik het beste zonder admin rechten het net op kan, het probleem met mijn systeem is enkel dat ik Java zo'n beetje dagelijks opnieuw moet installeren doordat deze constant verwijderd lijkt te worden.