Agressieve aanval in Firefox door JS-Unpacker - Privacy en beveiliging

donderdag 4 november 2010 14:41

Acties:

Topicstarter

Tijdens het zoeken naar een texture kwam ik op een site,

code:

1	http://macrodigital.com.co/img/red.php?q=/img/3d-textures-wood.html

, waar een red.php werd aangeroepen die een circus op mijn beeldscherm veroorzaakte, wat ik nog nooit heb gezien met Firefox 3.6.1 (op XP sp3).

De hele browser werd geminimaliseerd en er bleef alleen een alertbox over:

Afbeeldingslocatie: http://i1091.photobucket.com/albums/i386/lbback/antivirazooth.gif

Afbeeldingslocatie: http://i1091.photobucket.com/albums/i386/lbback/antivirazooth.gif

Als je dit probeert weg te klikken kom je op een nep-Windows Security Center pagina in Firefox:

Afbeeldingslocatie: http://i1091.photobucket.com/albums/i386/lbback/fake_screen.gif

Afbeeldingslocatie: http://i1091.photobucket.com/albums/i386/lbback/fake_screen.gif

Die probeert met de popup je een exe te laten downloaden:

Afbeeldingslocatie: http://i1091.photobucket.com/albums/i386/lbback/justscansoft34.gif

Als je dit probeert weg te klikken krijg je deze nep-melding:

Afbeeldingslocatie: http://i1091.photobucket.com/albums/i386/lbback/fake_alert.gif

Heeft iemand dit vaker meegemaakt? www2.antivirazooth.com is inmiddels geblokkeerd, maar dit heb ik nog nooit gezien in FF. Ik kon alleen via Ctrl+Alt+Del quitten, de browser was volledig overgenomen.

edit:
code veranderd in linkje

edit:
iisschots' post gelezen en linkje weer veranderd in code

[ Voor 5% gewijzigd door LB Back op 04-11-2010 14:58 ]

donderdag 4 november 2010 14:46

Acties:

LinuX-TUX

Probeer net naar de site te surfen, maar lijkt niet meer te bestaan. Overigens lach ik me altijd dubbel om hoe ze dat tegenwoordig spelen, steeds weer op andere manieren dat bijna de eindgebruiker vrijwillig rotzooi installeerd.

Helaas werkt dat onder linux op een of andere manier niet, zeker niet met al die windows icoontjes

donderdag 4 november 2010 14:46

Acties:

iisschots

iisschots in "BV Beleid"

Hoe om te gaan met links na onveilige sites.^^^^

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

donderdag 4 november 2010 16:40

Acties:

Jonas!

Heb het ook al meegemaakt. Er springen ineens 10 popup's op je scherm die je vertellen dat je pc vol virussen zit & het eigelijk quasi onmogelijk is, dat hij uberhaupt nog opstart.

Desalnietemin is dit gewoon een hele hoop bullshit & kan je het process van die popup's meestal killen via inderdaad ctrl alt delete zoals je al eerder aanhaalde. Wat ik jou aanraad is een popup blocker te installeren (die zitten standaard denk ik bij je antivirus of er zijn genoeg freeware programmaatje's die het werk voor jouw doen, dat moet je ff googlen).

Alvast veel succes & blacklist die website maar!

donderdag 4 november 2010 20:50

Acties:

LB Back

Topicstarter

Ik heb wel een popup blocker, maar dit was een javascript dat de browser minimaliseerde, en als enige optie een alert liet zien. Als je dat alert wegklikte werd je browser weer gerestored met een nieuw html-venster, vermomd als Windows Security Alert venster (met standaard Xp-theme) én een webpagina die eruit zag als een Windows Security Center, of Control Panel, of iets daartussenin. Beide pagina's verschillend gestyled trouwens. Nog linker zou het worden als je browser kon detecteren welk Windows-theme je gebruikt. De alert werd dus gebruikt om te forceren dat je naar die neppagina's ging.

Het javascript in de geïnfecteerde pagina zou dus zoiets kunnen doen: geef een alert, minimaliseer window, bij restore -> toon Windows Security Alert venster én redirect naar neppagina die je een exe aanbiedt wat een zogenaamde definition update is. De geruststellende domeinnaam "justscansoft34" waar de exe zogenaamd vandaan komt is bijna grappig. De exe lijkt een soort js-unpacker te zijn, de nep Security Alert daarna roept het dan aan door op "Remove all" te klikken.

Dit is het meest agressieve voorbeeld dat ik totnutoe in Firefox heb gezien en het zit redelijk listig inelkaar, is mijn punt. Als je in FF scripts toestaat to move or resize windows kan je deze list uithalen met javascript.

zaterdag 6 november 2010 12:57

Acties:

Verwijderd

Toevallig heb ik laats een pc van een klant gehad die zoiets had. Deze heb ik is onderzocht, maar deze heeft de hele Windows corrupt gemaakt. Waardoor je hele windows weer kan herinstalleren.
Controleer ook even je ad-ons die geinstaleert zijn. In mij geval was het dat er een ad-on zat. Die je iedere keer naar een ander site doorverwees Als je naar een bepaalde pagina ging. bijvoorbeeld: tweakers.net

zaterdag 6 november 2010 13:02

Acties:

KoosDijk

Hm, onder Opera krijg je wel die meldingen maar blijft je browser netjes staan.

zaterdag 6 november 2010 13:14

Acties:

Mopperman

rofl...

heb ff gekeken op mijn vm machine (win 7 ultimate) en kreeg dit ook inderdaad.

Niet eens de moeite genomen om even met een javascriptje windows versie te checken, om zo in ieder geval te pogen de layout wat anders te lijken.

Overigens heeft die vmware bak geen c schijf (is W: schijf...) dus ook dat is erg nep.

Ben t eens dat er veel mensen zijn die hier in trappen. Wellicht kan je de site nog naar google door mailen/reporten. Dan komt ie op de zwarte lijst voor in ieder geval FF en Chrome.

I can see clearly now the rain has gone. I can see all obstacles in my way.

zaterdag 6 november 2010 13:18

Acties:

Compizfox

Bait for wenchmarks

Net ook even gekeken (onder Linux) en kreeg idd dat namaak-Windowsscherm met al die popups, maar de browser bleef wel responsable en ik kon het tabblad gewoon wegklikken.

Gewoon een heel grote verzameling snoertjes