[NOD32] geeft melding bij openen asus.com

yep heb het hier nu ook. Krijg 2 meldingen. BMW3.jpg en BMW2.jpg

tevens blokeerd IE7 een pop-up met de melding. "This website wants to run the following add-on: Remote data serives control from Microsoft Corporation...."

[ Voor 55% gewijzigd door DarkSide op 06-04-2007 10:04 ]

theezeefje schreef op vrijdag 06 april 2007 @ 10:06:
is dit ergens aan te melden ofzo ?
abuse@asus.com ?

Geen idee. maar als ik naar asus nederland toe wil, lukt me dat ook niet. WWW server niet bereikbaar krijg ik dan.....

Is GEEN false positive!

http://www.viruslist.com/en/weblog

Nog een mooi plaatje van ESS:

[ Voor 48% gewijzigd door Bart1983 op 06-04-2007 11:49 ]

Dit kan inderdaad heel goed kloppen...

zie ook:
http://www.security.nl/ar...kers_via_ANI_exploit.html

Het ergste aan het hele gebeuren is nog wel dat de site sinds (minstens) 3 april compromised is..
Nouja, hopen dat de links naar de EXEs down blijven en dat ASUS het spoedig fixt.

Verwijderd schreef op vrijdag 06 april 2007 @ 16:44:
Het ergste aan het hele gebeuren is nog wel dat de site sinds (minstens) 3 april compromised is..
Nouja, hopen dat de links naar de EXEs down blijven en dat ASUS het spoedig fixt.

Een ding begrijp ik niet ik heb die windows ani patch van MS geinstalleerd en toch krijg ik van de virusscanner een melding als ik asus.com betreed. Zorgt die MS patch er alleen voor dat de schadelijke exe niet automatisch kunnen worden gedownload/activeerd M.a.w. als ik de virusscanner uitzet zou er eigenlijk nog niets hoeven te gebeuren

[ Voor 8% gewijzigd door Bart1983 op 06-04-2007 17:18 ]

Verwijderd schreef op vrijdag 06 april 2007 @ 16:44:
Het ergste aan het hele gebeuren is nog wel dat de site sinds (minstens) 3 april compromised is..
Nouja, hopen dat de links naar de EXEs down blijven en dat ASUS het spoedig fixt.

Het was al redelijk hopeloos gesteld met die site, veel downtime, traag en inconsistenties tussen de diverse nationale sites.

Bart1983 schreef op vrijdag 06 april 2007 @ 17:16:
[...]
Een ding begrijp ik niet ik heb die windows ani patch van MS geinstalleerd en toch krijg ik van de virusscanner een melding als ik asus.com betreed. Zorgt die MS patch er alleen voor dat de schadelijke exe niet automatisch kunnen worden gedownload/activeerd

Tja, als virusscanners ook nog rekening moeten houden met elke patch.... Bovendien is het ook met patch nog steeds de verantwoordelijkheid van de virusscanner om je op foute bestanden te wijzen.

Bart1983 schreef op vrijdag 06 april 2007 @ 17:16:
[...]


Een ding begrijp ik niet ik heb die windows ani patch van MS geinstalleerd en toch krijg ik van de virusscanner een melding als ik asus.com betreed. Zorgt die MS patch er alleen voor dat de schadelijke exe niet automatisch kunnen worden gedownload/activeerd M.a.w. als ik de virusscanner uitzet zou er eigenlijk nog niets hoeven te gebeuren

Yup.

Ze hebben de URLs trouwens veranderd.
Er worden nu Lineage(MMORPG) password stealers gedownload.

Bart1983 schreef op vrijdag 06 april 2007 @ 11:41:
Is GEEN false positive!

http://www.viruslist.com/en/weblog

Nog een mooi plaatje van ESS:

[afbeelding]

Ben er net op geweest, maar heb geen melding gekregen van kaspersky of andere beveiliging, is het al weggehaald?

hier ook geen melding, gebruik laatste versie firefox + nod32.

Ik krijg de melding nog wel, met IE en Nod32... Met firefox krijg ik ook geen melding

[ Voor 28% gewijzigd door Verwijderd op 07-04-2007 14:24 ]

staat ook op de frontpage zie ik nu:
nieuws: Asus-website geïnfecteerd met exploitcode voor .ani-lek

Bart1983 schreef op zaterdag 07 april 2007 @ 14:28:
[...]


Op een andere site las ik ook dat asus aan DNS loadbalancing deed en schijnbaar zijn niet alle servers geinfecteerd.

Klopt.
De server met de exploit verandert de pagina dynamisch - hele reeks obfuscated javascripts.

Er lijken (grofweg) twee versies te zijn:
JS laadt ANI exploit --> URL in ANI is down.
JS laadt andere exploit --> URL is up --> Trojan-PSW.Win32.OnLineGames.kw.

De 2e exploit wordt een stuk slechter gedetecteerd. Hoewel het een oudere is.
Dit laat maar weer eens zien dat een HTTP scanner geen luxe is.

Verwijderd schreef op zaterdag 07 april 2007 @ 16:46:
[...]
Er lijken (grofweg) twee versies te zijn:

Wel meerdere ...
Wat ik ondekt heb is, dat een stuk javascript laat een base64 sting decoderen. Daarin zit vbscript die weer een frame inlaad. In dat frame zit weer javascript en die laad met css cursor style een .pig bestand in.
Best wel grappig gedaan vind ik ... Alleen wel jammer dat het schadelijk is ...
Opera schrijnt overigs de javascript niet te lusten, Opera blijft op het decoderen hangen, hij gaat niet verder...

Ik vindt dit een kwalijke zaak, je zou toch wel verwchten dat Asus dit probleem zo snel mogelijk zou oplossen? Net nog gekeken en inderdaad nogsteeds aanwezig, dit zou toch een hogere prioriteit moeten hebben dan dagje 'vrij'.

http://www.symantec.com/s...docid=2005-021610-3724-99

Beetje jammer imho, meestal installeer ik ook mijn drivers etc voordat ik met programmas aan de gang ga, ik vraag me af hoelang de trojan al aanwezig is.

Te kijken naar de screenshots lijkt het te gaan om de entry website van ASUS waar je land (taal) selecteerde voordat je naar je landelijke asus site werd gestuurd

Die site stond origineel op:
http://www.asus.com/entry.htm

Die pagina lijkt inmiddels offline te zijn. asus.com referreert momenteel gewoon naar een global asus site.

re-te traag

[ Voor 2% gewijzigd door Steef op 09-04-2007 12:22 . Reden: zomg slow ]

Hulde aan NOD32
(als ze nou een net zo goeie spamfilter gingen maken...
BTW:
ESET Launches Beta Program for Integrated Smart Security Solution)