Neppe beveilingssite, knap werk

Lijkt me niet handig die link, in verband met malwar / virus / exploit?

AVG -> RC1.strangeld.net/3/?c=947 Probeert bestandd op te roepen. Exploite Rogue scanner type 889

[ Voor 53% gewijzigd door cossy nl op 10-08-2010 23:10 . Reden: Typo(s) ]

bij mij komt er toch mooi een windows 7 look tevoorschijn.

Hmm dat is waar niet op klikken is wel het beste, ik krijg geen windows interface te zien, alleen die melding van AVG

Bij mij XP. Je ziet echter wel goed dat de schermpjes behoorlijk fake zijn naar mijn mening.

SoulShot schreef op dinsdag 10 augustus 2010 @ 23:15:
Niet aan gedacht dat dit tegen de regels kon zijn..
Het is inderdaad een malware site, maar er gebeurt niets zolang je nergens op klikt.
Wou het gewoon even melden

Hoe weet je nu of er wel of niks gebeurt? Je surft er heen met een browser welke waarschijnlijk een pdf plugin heeft, alsmede met een flash plugin. Dat zijn tegenwoordig de grootste aanvalsvectoren. Als je deze niet up 2 date houdt kun je het sowieso wel schudden. Daarnaast ben je altijd vatbaar voor 0day aanvallen.

Het is nogal kort door de bocht om te stellen dat er niks gebeurt.

Leeg scherm met firefox 3.6.8 en avast! free antivirus 5.0.594. (Windows 7 - ik geloof 64-bit)

Kaspersky Internet Security laat mij de website ook niet openen.

Hihi, onder ubuntu krijg ik ook een xp look. Wel leuk dat ie mijn c schijf 'gaat lopen scannen'.

Dit soort sites komen vziw wel vaker voor. Het blijft altijd opletten, zeker voor de standaard gebruiker.

Als je onveilige linkjes post geef dat dan aub duidelijk aan en plaats ze zo dat je ze niet kan aanklikken. Door bijvoorbeeld de http:// en www. weg te halen of het in [ code ] [ / ] tags te plaatsen.

De pagina die u opvraagt, staat bekend als een website met een exploit, met phishing of social engineering en is daarom geblokkeerd om u te beschermen. Zonder bescherming, bijvoorbeeld die van AVG Werkbalk Beveiliging en AVG, loopt u het risico dat uw computer wordt gehackt, beschadigd of dat uw identiteit wordt gestolen. Ga verder aan de hand van een van de onderstaande suggesties.

URL: rsc1.strangled.net/3/?c=947
Naam: Rogue Scanner (type 889)

Ik geraak er probleemloos op (FF 3.6.8) - waar ik blij om ben: niemand hoeft mijn internetgedrag te limiteren Als ik de "avupdate.exe" uitvoer (ja, ik test uitgebreid ) schiet McAfee wel meteen in gang

ook hier schiet avg de site al af voordattie geopend kan worden , eens ff uitzetten en kijken wat er gebeurd, heb toch windows 7 dus als er een xp look komt ga ik wel lachten xD

EDIT: LOL, geeft idd een win7 schermpje, echter onderin: Browser: IE7 ... uhm, nee hoor, Chrome 6 xD

[ Voor 22% gewijzigd door marti-n op 11-08-2010 00:26 ]

Nou ben ik eerlijk gezegd wel benieuwd, hier opent ie niet (win 7 x64, ff 3.6 / IE8, Avast), iemand een screenie?

wasted247 schreef op woensdag 11 augustus 2010 @ 00:25:
Nou ben ik eerlijk gezegd wel benieuwd, hier opent ie niet (win 7 x64, ff 3.6 / IE8, Avast), iemand een screenie?

klikbaar voor grotere

Ja maar dan moeten mensen die wel melden. Bij deze site krijg je daar de kans niets voor.
Ik heb hem even geopend in een Sandboxed browser en kijk wat hij doet.
Vervolgens gaat hij dus een avupdate.exe downloaden, die dus zowel bij Virustotal.com als bij Jotti slechts door een handjevol scanners wordt herkend:
Sophos: Sus/UnkPack-C, TrendMicro: TROJ_BURNIX.SMEP

avupdate.exe
MD5 : 82d35889d4c1cd490518ca9caf9bb047
SHA1 : 027c3488761957838e9637a6c6c38a9b39c85e1c

Het zal wel een zelf-modificerend iets zijn, dat telkens een paar bytes verandert.
Die exe ga ik niet starten in mijn zandbak, dat blijf ik toch griezelig vinden

edit:
Inderdaad, nog een keer geopend en er komt een andere exe:
SHA1: 900b2d892cce842e7f429f748fa010c42b6d6bc8 *avupdate.exe

[ Voor 75% gewijzigd door Henk007 op 11-08-2010 01:01 ]

Mijn Avast IS meldt hem niet als onveilige site en zit hem ook niet. Zal nog wel een update voor komen. Ik kan er met mijn W7 gewoon opkomen. Mijn pc is redelijk bijgewerkt.

Ik vind het er toch wel nep uitzien hoor. Een plaatje wat in je browser opent en hij wil een bestand downloaden. Maar ik kan me wel voorstellen dat er mensen intrappen.

De url uit TS is down