Autore Topic: Malware Alert...  (Letto 3555 volte)

AndreaP

  • Administrator
  • Utente
  • *****
  • Post: 274
    • http://quattrobit.substack.com
Malware Alert...
« il: 11 Maggio 2006, 18:46:33 »
 Salve, il mio antivirus (www.freeav.com) aggiornato mi segnala la presenza di malware nel codice caricato da questo forum, precisamente quello caricato da (dando un'occhiata al sorgente html):



Qualcuno conferma?

pyrat2703

  • Utente
  • **
  • Post: 267
  • Gioco Preferito: Ghost'n'Goblin
Malware Alert...
« Risposta #1 il: 11 Maggio 2006, 19:53:44 »
 Confermo amico mio per ben 2 volte 2 orette fa quando mi sono collegato il mio norton mi ha salvato le chiappe da un Trojan....maledetti virus :-)

ma purtroppo per il virus e' stato stecchito all'istante :-/ fate attenzione sempre ragazzi :-)

Nello specifico a me dava le seguenti informazioni...

Prima volta = xpladv548(1).wmf download.Trojan 11/01/2006 17:13:08
Seconda Volta = xpladv690(1).wmf download.Trojan 11/05/2006 17:17:42
Terza Volta = Bling.exe W32.spybot.Worm 22/06/2005 ore 23:48:19

ecco amici questo e' quello che ho trovato oggi...apparte le date e l'ora che sono sballate questo mi e' stato segnalato dal mio fido antivirus :-(

 
WOPR EXECUTION ORDER
K36.948.3

PART ONE  : R O N C T T L
PART TWO : 07:20:35

LAUNCH CODE : D L G 2 2 0 9 T V X

Roberto

  • Administrator
  • Utente
  • *****
  • Post: 2437
    • https://ready64.org
  • Gioco Preferito: Impossible Mission
Malware Alert...
« Risposta #2 il: 11 Maggio 2006, 20:36:46 »
 
Citazione da: "AndreaP"
Salve, il mio antivirus (www.freeav.com) aggiornato mi segnala la presenza di malware nel codice caricato da questo forum, precisamente quello caricato da (dando un'occhiata al sorgente html):



Qualcuno conferma?
Confermo purtroppo.
E' un baco che affligge Invision Board 1.3 e che consente a malintenzionati la modifica del Wrapper HTML del forum, tramite inserimento di quel pezzo di codice, di volta in volta in forme leggermente diverse tra loro.
In pratica si tratta di un iframe invisibile (dimensioni di 1pixel) che richiama l'URL di una pagina su cui risiede il file infetto ogni volta che si apre o ricarica una pagina del forum.
Finora ho sempre rimosso il file a mano ma, finchè la falla non viene tappata con una patch, il problema torna a ripresentarsi.
Continuo ad adoperarmi per trovare una soluzione definitiva.
Per collaborare, segnalare un errore (o qualsiasi altra comunicazione importante) utilizzare la pagina dei contatti:
https://ready64.org/informazioni/contatti.php

magicfly

  • Utente
  • **
  • Post: 440
  • Gioco Preferito: The Last Ninja 2
Malware Alert...
« Risposta #3 il: 11 Maggio 2006, 20:41:13 »
 sembra essere la vecchia falla dei file WMF...
date un'occhiata qui:

http://www.microsoft.com/technet/security/...n/MS06-001.mspx

e tenete il vostro Windows aggiornato! ;)
LOAD "*" ,8,1<br>SEARCHING FOR *<br>FOUND LAST NINJA 2<br>LOADING

iAN CooG

  • Utente
  • **
  • Post: 1774
    • http://iancoog.altervista.org
  • Gioco Preferito: Turbo Assembler, ActionReplay Monitor, DiskDemon
Malware Alert...
« Risposta #4 il: 11 Maggio 2006, 21:29:22 »
 Dannato traffweb, nemmeno l'iframe vuoto e' servito a bloccarlo...
Cercate (o create se non c'e') in \windows il file "hosts" e inserite
Codice: [Seleziona]
0.0.0.0       traffweb.biz

cosi' QUALSIASI tentativo di andare su quel f**tt*o sito, voluto o non, sara' bloccato.
-=[]=--- iAN CooG/HVSC^C64Intros ---=[]=-
- http://hvsc.c64.org - http://intros.c64.org -

Roberto

  • Administrator
  • Utente
  • *****
  • Post: 2437
    • https://ready64.org
  • Gioco Preferito: Impossible Mission
Malware Alert...
« Risposta #5 il: 11 Maggio 2006, 21:55:06 »
 Ho applicato varie patch di sicurezza che spero possano risolvere il problema.
Segnalatemi altri problemi o eventuali soluzioni.
Magicfly: niente "mi sembra" "mi pare" eccetera, parliamo solo se siamo sicuri altrimenti contribuiamo soltanto a ingenerare confusione senza contribuire alla risoluzione del problema. Non mi pare che la falla di cui parli possa modificare l'html del forum IPB1.3 (!).

Se riscontrate nuovamente il virus, segnalatelo qui per favore.
Segnalate anche eventuali errori nelle ricerche, nel login/logout, post di messaggi, profilo utente e qualsiasi altro malfunzionamento.
 
Per collaborare, segnalare un errore (o qualsiasi altra comunicazione importante) utilizzare la pagina dei contatti:
https://ready64.org/informazioni/contatti.php

Cbm

  • Utente
  • **
  • Post: 423
  • Gioco Preferito: Wonderboy
Malware Alert...
« Risposta #6 il: 11 Maggio 2006, 22:40:59 »
 Uelà, il vecchio traff che fa le biz ha fatto capolino.
Altro metodo banale per bloccarne il collegamento su IE: inserire http://*.traffweb.biz nei siti con restrizioni e dimenticarsi di lui.
 
C= - Dal 1985! Lunga vita e prosperità.

Evincaro

  • Utente
  • **
  • Post: 437
    • http://xoomer.virgilio.it/ovgrav/
  • Gioco Preferito: Spy Vs Spy
Malware Alert...
« Risposta #7 il: 12 Maggio 2006, 09:23:11 »
 Io inizio a preoccuparmi... il mio antivirus (AVG Free edition) non ha rilevato nulla. Ora le possibilità sono 3:

1 - Rob con le sue patch ha risolto il problema;
2 - I miei sistemi di sicurezza (antivirus, firewall e anti spyware) non l'hanno rilevato e mi ha fatto fesso;
3 - Non colpisce tramite browser che non siano Internet Explorer (io uso soluzioni alternative già da tempo).

Qualcuno mi può illuminare? Grazie!

 :ciauz:  
I difetti in un ambiente possono essere i pregi in uno differente.

Alberto

  • Utente
  • **
  • Post: 589
  • Gioco Preferito: Grand Prix Circuit
Malware Alert...
« Risposta #8 il: 12 Maggio 2006, 10:04:05 »
 Sì,ho avuto anch'io quel problema ultimamente...ma in pratica,che farebbe sta schifezza?
 

magicfly

  • Utente
  • **
  • Post: 440
  • Gioco Preferito: The Last Ninja 2
Malware Alert...
« Risposta #9 il: 12 Maggio 2006, 10:30:13 »
Citazione da: "Evincaro"
Io inizio a preoccuparmi... il mio antivirus (AVG Free edition) non ha rilevato nulla. Ora le possibilità sono 3:

1 - Rob con le sue patch ha risolto il problema;
2 - I miei sistemi di sicurezza (antivirus, firewall e anti spyware) non l'hanno rilevato e mi ha fatto fesso;
3 - Non colpisce tramite browser che non siano Internet Explorer (io uso soluzioni alternative già da tempo).

Qualcuno mi può illuminare? Grazie!

 :ciauz:
sono d'accordo con te Evincaro sulla 3° opzione..io uso Firefox da una vita e non ho avuto alcuna intrusione, usandolo assieme al NOD32
LOAD "*" ,8,1<br>SEARCHING FOR *<br>FOUND LAST NINJA 2<br>LOADING

AndreaP

  • Administrator
  • Utente
  • *****
  • Post: 274
    • http://quattrobit.substack.com
Malware Alert...
« Risposta #10 il: 12 Maggio 2006, 17:45:06 »
 La soluzione per questo problema proposta da Ian mi sembra la migliore, anch'io la uso da molto tempo per far deviare i possibili accessi a siti pericolosi su localhost. E' ottima anche per evitare il caricamento dei banner...

Roberto

  • Administrator
  • Utente
  • *****
  • Post: 2437
    • https://ready64.org
  • Gioco Preferito: Impossible Mission
Malware Alert...
« Risposta #11 il: 13 Maggio 2006, 11:28:17 »
 Purtroppo questa mattina il problema si è ripresentato.
PER FAVORE postate in questo thread solo in caso in cui il problema si ripresenti.
Qualsiasi soluzione che non sia una patch del codice PHP del forum è strutturalmente inefficace e quindi inutile.
Se le cose vanno bene (niente virus) non c'è bisogno di postare qui.

Per chi non avesse capito: il WRAPPER del forum viene modificato da uno script automatico che scandaglia la rete in cerca di vulnerabilità.

Mentre lo script è automatico, io devo modificare il Wrapper a mano tutte le volte e questa operazione va fatta per tutte le Skin per rimuovere il tag malizioso.
Mi dispiace per chi usa la skin bianca, ma per ora sono costretto a disabilitarla perchè altrimenti ogni volta devo fare una doppia modifica.

Sono iscritto alla discussione per essere aggiornato in tempo reale sul problema anche grazie al vostro aiuto, quindi niente messaggi inutili grazie.
Ho già spiegato sommariamente quello che succede, se non sono stato abbastanza chiaro (cosa possibile dato che ho dato molte cose per sottintese), chiedete tranquillamente spiegazioni indicando quello che non avete capito, sarò lieto di spiegarvelo. Per altri messaggi non inerenti valuterò la cancellazione (ebbene si, qualcuno è riuscito nell'impresa di farmi cambiare idea): a buon intenditor poche parole.
Per collaborare, segnalare un errore (o qualsiasi altra comunicazione importante) utilizzare la pagina dei contatti:
https://ready64.org/informazioni/contatti.php

Roberto

  • Administrator
  • Utente
  • *****
  • Post: 2437
    • https://ready64.org
  • Gioco Preferito: Impossible Mission
Malware Alert...
« Risposta #12 il: 13 Maggio 2006, 16:49:26 »
 Applicata un'altra patch di sicurezza (non ufficiale).
Grazie ad eregil per la segnalazione.
Ancora una volta non resta che aspettare e vedere se la patch tiene.
Per collaborare, segnalare un errore (o qualsiasi altra comunicazione importante) utilizzare la pagina dei contatti:
https://ready64.org/informazioni/contatti.php

Roberto

  • Administrator
  • Utente
  • *****
  • Post: 2437
    • https://ready64.org
  • Gioco Preferito: Impossible Mission
Malware Alert...
« Risposta #13 il: 04 Giugno 2006, 17:19:28 »
 Silenzio da alcuni giorni...
Toccando ferro il problema sembra essersi risolto in maniera definitiva.

Stando ai log, diversi visitatori trovano questa pagina perchè cercano notizie sul virus, quindi posto la soluzione del problema.

E' stata molto utile questa patch non ufficiale da applicare alla versione 1.3.1 Final del forum:
http://www.ibforen.de/index.php?ind=downlo...ion_view&idev=1

(In questo thread le istruzioni in inglese).

Ringraziamenti a eregil che ha scovato la risorsa e danke schon al tedescozzo che ha corretto l'exploit. ;)
Per collaborare, segnalare un errore (o qualsiasi altra comunicazione importante) utilizzare la pagina dei contatti:
https://ready64.org/informazioni/contatti.php