Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[fp/bug] Trojan bij "Jobs" volgens Kaspersky

Pagina: 1
Acties:

dinsdag 15 februari 2011 15:20

Acties:
  • Elijan9
  • Registratie: Februari 2004
  • Laatst online: 20-11 15:32

Elijan9

Topicstarter
(Ik denk dat dit de juiste plek is om dit te melden?)
Kaspersky geeft aan dat de volgende URL een Trojan bevat:
http://tweakers.careercas...7184//tweakers.careercast

Met mijn beperkte kennis van javascript zie ik geen alarmerende dingen, dus waarschijnlijk een false positive. Maar het lijkt me wel nuttig dit even op deze manier door te geven...

War is when the young and stupid are tricked by the old and bitter into killing each other. - Niko Bellic

dinsdag 15 februari 2011 21:21

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 00:58

crisp

Devver

Pixelated

Ik zie daar ook niets raars. Feit is echter ook dat het een extern platform betreft waar wij zelf niet veel mee kunnen doen...

Intentionally left blank

woensdag 16 februari 2011 09:33

Acties:
  • Elijan9
  • Registratie: Februari 2004
  • Laatst online: 20-11 15:32

Elijan9

Topicstarter
De URL werd trouwens geladen vanuit:
jobs: Senior Linux Engineer

Echter, het is het niet afhankelijk van de jobid, voor elke job wordt door Kaspersky melding gemaakt van dezelfde trojan, te weten: Trojan-Downloader.JS.Iframe.cda

Ik nam aan dat het een gerelateerd intern platform was, maar Tweakers.net kan hier inderdaad dan weinig aan doen. Het lijkt mij wel nuttig een melding hiervan nog even te laten staan, aangezien iedere bezoeker met Kaspersky deze melding nog steeds krijgt bij elke willekeurige job.

(Ik neem aan dat jullie de melding wel doorzetten naar de juiste partij.)

War is when the young and stupid are tricked by the old and bitter into killing each other. - Niko Bellic

woensdag 16 februari 2011 10:07

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 00:58

crisp

Devver

Pixelated

Het zal wel door dit stukje code komen op die pagina:
HTML:
1
2
3

<script type="text/javascript">
    document.write("<iframe src=\"http://tweakers.net/ext/logview/?pageId=20&time=", starttime, "\" width=\"0\" height=\"0\" frameborder=\"0\"></iframe>");
</script>


Maar op zich is daar niets mis mee; niet elk dynamisch gegenereerde iframe die verwijst naar een ander domein is malicious. Dus in feite is dit gewoon een false-positive van Kaspersky...

Verwacht je nu dat we dit doorzetten naar Kaspersky???

Intentionally left blank

woensdag 16 februari 2011 15:14

Acties:
  • Elijan9
  • Registratie: Februari 2004
  • Laatst online: 20-11 15:32

Elijan9

Topicstarter
Ik bedoelde natuurlijk naar http://tweakers.careercast.com, die mogen het wat mij betreft toch zelf regelen met Kaspersky? Jullie hebben wel wat beters te doen... ;)

[ Voor 8% gewijzigd door Elijan9 op 16-02-2011 15:18 ]

War is when the young and stupid are tricked by the old and bitter into killing each other. - Niko Bellic

maandag 21 maart 2011 17:36

Acties:
  • Hennie-M
  • Registratie: December 2000
  • Laatst online: 21:57

Hennie-M

Ik schop dit topic even omhoog omdat ik het na een aantal weken niets meer gezien te hebben ook weer deze melding kreeg.

Ik kreeg het bij deze url: jobs: Citrix systeem-/netwerkbeheerder
(Het is waarschijnlijk een false positive, maar als je geen risico wil lopen klik je niet op de link)
Edit: ik zie weer dat ik beter vroeg naar bed had kunnen gaan.. |:(

[ Voor 7% gewijzigd door Hennie-M op 21-03-2011 17:37 ]

dinsdag 22 maart 2011 22:24

Acties:
  • bitshape
  • Registratie: Februari 2003
  • Niet online

bitshape

japanse vechtvis

Zet "127.0.0.1 tweakers.careercast.com" even in het HOSTS bestand op je pc, dan is deze melding permanent weg daar er geen connectie meer gemaakt kan worden met de tweakers.careercast.com servers.

Zelf kreeg ik hem ook bij elke Job, en ik wil helemaal geen iframe/script laden van careercast.com.
Volgens mij is dit de Heuristiek-scanner die dit detecteert, en volgens mij is dit bedoeld voor Data-Mining toepassingen door careercast.com. Of heeft iemand andere ideeën hierover?


@crisp, kan jij ons uitleggen hoe er in hemelsnaam een koppeling naar een iframe/script op de servers van careercast.com ontstaat, ondanks dat dit niet in de code van de Jobs-pagina's staan? :?

"een dynamisch gegenereerde iframe die verwijst naar een ander domein", wtf? Waar is de verwijzing dan?

[ Voor 31% gewijzigd door bitshape op 22-03-2011 23:03 ]

avatar redux
bit 2.0: i7-8700K - Z370 Apex - 32GB 3200c14 - Strix GTX1080 - Prime 850W - LSI 9207-8i - 22TB HDD - 5.5TB SSD

woensdag 23 maart 2011 01:06

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 00:58

crisp

Devver

Pixelated

bitshape schreef op dinsdag 22 maart 2011 @ 22:24:

@crisp, kan jij ons uitleggen hoe er in hemelsnaam een koppeling naar een iframe/script op de servers van careercast.com ontstaat, ondanks dat dit niet in de code van de Jobs-pagina's staan? :?
in de js:
JavaScript:
1
2
3
4
5
6

// Request Adicio job page
function requestAdicioJobpage(jobId)
{
    var adicioRequest = new Image();
    adicioRequest.src = 'http://tweakers.careercast.com/careers/jobsearch/detail?jobId=' + jobId + '&rand=' + Math.round(Math.random() * 100000);
}

een heel erg brakke manier dus om vanuit onze kant ook een pageview te laten genereren op careercast :X (ik heb het niet verzonnen...)
"een dynamisch gegenereerde iframe die verwijst naar een ander domein", wtf? Waar is de verwijzing dan?
Die iframe wordt weer aan de andere kant (op careercast zelf dus) aangemaakt om aan onze kant weer een pageview te registreren.

Gelukkig stapt VNU dit jaar over op een ander platform...

Intentionally left blank

woensdag 23 maart 2011 03:16

Acties:
  • bitshape
  • Registratie: Februari 2003
  • Niet online

bitshape

japanse vechtvis

Thanks crisp!
Het is dus voor het genereren van pageviews bij cq. door tweakers.careercast.com bedoeld.

Dat Kaspersky dit als een trojan-downloader ziet, is doordat juist dit specifieke gedrag,
nl: een dynamisch gegenereerde iframe die verwijst naar een ander domein, wordt opgemerkt door de Heuristiek-scanner van Kaspersky.

Alsnog zal ik de HOSTS-entry op m'n PC laten staan, daar ik geen zaken doe en wil doen met careercast.com.

avatar redux
bit 2.0: i7-8700K - Z370 Apex - 32GB 3200c14 - Strix GTX1080 - Prime 850W - LSI 9207-8i - 22TB HDD - 5.5TB SSD

woensdag 23 maart 2011 04:27

Acties:

Verwijderd

Ik zal morgen eens kijken of ik het kan reproduceren (en fixen) aan onze kant.

woensdag 23 maart 2011 06:40

Acties:
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

bitshape schreef op woensdag 23 maart 2011 @ 03:16:
Thanks crisp!
Dat Kaspersky dit als een trojan-downloader ziet, is doordat juist dit specifieke gedrag,
nl: een dynamisch gegenereerde iframe die verwijst naar een ander domein, wordt opgemerkt door de Heuristiek-scanner van Kaspersky.
Dat betekend dus ook dat er een bug in die Kaspersky code zit, zoals Schouw al aangeeft (hoi Schouw! :w )

God, root, what is difference? | Talga Vassternich | IBM zuigt

donderdag 24 maart 2011 02:20

Acties:

Verwijderd

Heb het zojuist weten te reproduceren. WIll be fixed. :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq