www.rallysport.nl

Hallo,

toen ik vandaag dit forum bezocht sloeg m'n virusscanner alarm.
Een script dat uitgevoerd zou moeten worden door Internet Explorer werd geblokkeerd. Het gaat hierbij om JS/Exploit-BO.gen.

Een schermafdruk van de melding:


Er wordt een poging gedaan de ActiveX-control "Microsoft Data Access - Remote Data Services (RDS)" te installeren. Schermafdruk van de melding:




Op de site van McAfee (http://vil.nai.com/vil/content/v_130621.htm) lees ik dat een en ander te maken heeft met een vulnerability in MDAC, iets dat de server waarop de webpagina draait mee te maken heeft, i.c.m. het ontbreken van een patch hiervoor. Een passage uit de tekst van die site:

Characteristics -

-- Update April 25, 2007 --

A malicious website linked from a Google sponsored link, was found to be hosting multiple web exploits. The website hosted at www.smartt{hidden}.org contained a frame that is linking to www.expl{blocked}ff.net, where the actual exploits and malware are hosted.

The main webpage that is hosting the cocktail of exploits, when browsed using Internet Explorer, was proactively detected and blocked as JS/Exploit-BO.gen by VirusScan when script scanning is enabled.

The following vulnerabilities were found to be targeted:

Microsoft Data Access Components (MDAC) Code Execution Vulnerability (Exploit-MS06-014)
Microsoft Windows Shell Remote Code Execution Vulnerability (Exploit-CVE2006-3730)
Microsoft Windows Animated Cursor Remote Code Execution Vulnerability (Exploit-AniFile.c)
Apple QuickTime RTSP buffer overflow (Exploit-QtRTSP)
Sky Software FileView ActiveX control buffer overflow vulnerability (Exploit-CVE2006-5198)

At the time of writing, the malware installed was found to be downloading a bank password stealer and can be detected as PWS-Banker.gen.bt in the 5018 DATs.

Met name dat laatste stukje tekst over een "downloading a bank password stealer" was voor mij een trigger om het hier even te melden.

Aan de beheerders de vraag of de server wel up-to-patch is of dat we hier met een security-risk te maken hebben??

Ik ben er - naar aanleiding van een opmerking van Walter G. - ook al mee bezig en omdat ik de melding zelf niet kreeg, kwam ik nog niet veel verder.

De server kan het niet zijn, omdat er geen Microsoft componenten op de server draaien of aanwezig zijn.

In het stuk wat je aanhaalt staat volgens mij ook de uitleg:

A malicious website linked from a Google sponsored link, was found to be hosting multiple web exploits. The website hosted at www.smartt{hidden}.org contained a frame that is linking to www.expl{blocked}ff.net, where the actual exploits and malware are hosted.

Het lijkt erop dat google advertenties misbruikt worden voor deze exploit. Ik haal nu de google-ads uit de site.

StevenK schreef:Ik ben er - naar aanleiding van een opmerking van Walter G. - ook al mee bezig en omdat ik de melding zelf niet kreeg, kwam ik nog niet veel verder.

De server kan het niet zijn, omdat er geen Microsoft componenten op de server draaien of aanwezig zijn.

In het stuk wat je aanhaalt staat volgens mij ook de uitleg:

A malicious website linked from a Google sponsored link, was found to be hosting multiple web exploits. The website hosted at www.smartt{hidden}.org contained a frame that is linking to www.expl{blocked}ff.net, where the actual exploits and malware are hosted.

Het lijkt erop dat google advertenties misbruikt worden voor deze exploit. Ik haal nu de google-ads uit de site.

Ik heb inderdaad ook wel het vermoeden dat het daar zit, daarom had ik het ook vermeld, maar om het niet te beperken tot mijn vermoeden heb ik het hele plaatje van wat er gebeurde op mijn pc maar vermeld. Ik zit zelf ook in het vak, dus ik weet hoe moeilijk troubleshooting kan zijn als je maar een half verhaal hebt gehoord.

Steven,

Kreeg hem net ook, en nu alleen bij het schrijven van een antwoord, zal dus toch in Google Ads zitten want hier staat nog een advertentie, wellicht nog niet alles Google Ads uitgeschakeld?

Denk overigens forum algemeen nog niet schoon van ads.


Groeten, Erwin

Als het goed is, zijn nu alle google ads weg.

Ik heb als ik de site vernieuw nog steeds zoon rood blokje. zowel in firefox als in internet Explorer. Pas na een keer of 3, 4 vernieuwen krijg ik de site weer in beeld

StevenK schreef:Als het goed is, zijn nu alle google ads weg.

Ik krijg nog steeds dezelfde meldingen...
Heb temp-files en cookies verwijderd, hetzelfde resultaat.

Even voor mijn beeld: welke browser, welk OS ?

StevenK schreef:Even voor mijn beeld: welke browser, welk OS ?

IE 7.0
Windows XP SP2, beiden up-to-patch

Wat me verder opvalt:
nadat ik cookies en temp-files had verwijderd, heb ik alle openstaande browser-vensters gesloten. Hierna rechtstreeks naar http://www.rallysport.nl/forum gegaan en daar was de melding weer. Als ik vervolgens een paar keer op de refresh-button klik (dus NIET de ActiveX installeren) dan komt de inlogpagina weer tevoorschijn. Vanaf dat moment lijkt het allemaal goed te gaan (althans, tot nu toe).

hmmmm.....ik had het net ook op rallycarsforsale.

Hier ook hetzelfde probleem! IE 7.0 en XP SP2.

Probleem is er, Steven is druk in de weer om het te lokaliseren en op te lossen. Draai zelf onder Vista B. samen met IE 7.0 en ook hier problemen alsmede op andere sites.

Het probleem (welke ik ook had) lijkt opgelost.

Steven, weet je waardoor dit veroorzaakt werd of is het "vanzelf" over gegaan?

Ed555 schreef:Het probleem (welke ik ook had) lijkt opgelost.

Steven, weet je waardoor dit veroorzaakt werd of is het "vanzelf" over gegaan?

We hebben gevonden waardoor het probleem veroorzaakt werd.

Knap werk !!

Kan je, evt via een PB, uitleggen wat het probleem was.
Op het ImRA forum hadden we ook last van dit "virus".

Ik wil graag zeker weten dat het nu voorbij is.