Internetters die deze sites bezoeken downloaden zonder het te weten de kwaadaardige Javascript-code. De code wordt meegestuurd met een plaatje en zoekt vervolgens verbinding met één of twee ip-adressen in Noord-Amerika of Rusland. Van hieruit wordt vervolgens een keylogger geïnstalleerd. De praktijken zijn ontdekt door NetSec, een bedrijf dat beveiligingsdiensten levert aan grote bedrijven en overheden. Het bedrijf ontdekte donderdag plotseling verdacht dataverkeer op diverse door hen beheerde netwerken, zegt Brent Houlahan, chief technology officer van NetSec. Het bedrijf heeft hierop de logbestanden gecontroleerd en ontdekte dat wanneer internetters de besmette sites bezoeken - waaronder een grote veilingwebsite, zoekmachine en vergelijkingssite - zij ongemerkt worden geïnfecteerd met de kwaadaardige code.
<img src="http://upload.userbase.be/upload/spam_keylog.gif" align="left" width="120" height="160"> Trojaans Paard
Vanaf het ip-adres in Rusland is al vaker spam verstuurd. Houlahan vreest dan ook dat de code een soort virtueel netwerk aan het opbouwen is om in een later stadium via de besmette pc's op grote schaal spam te versturen. Hij benadrukt wel dat NetSec de code nog aan het onderzoeken om de exacte werking te ontcijferen. Ook het SANS Internet Storm Center, dat alle mogelijke gevaren voor de internetinfrastructuur in de gaten houdt, onderzoekt de uitbraak. Het onderzoekscentrum heeft inmiddels ontdekt dat de code ook een Trojaans paard installeert genaamd msits.exe. Wat het Trojaans paard exact doet, is nog niet bekend.
Grootschalige uitbraak
Het is nog onduidelijk op hoeveel systemen de bewuste code zich inmiddels ongemerkt heeft weten te nestelen. NetSec weigert de namen van de besmette sites te noemen, maar stelt dat het 'grote, erg grote sites' zijn.
Overigens denkt Houlahan dat niet de originele servers van de sites besmet zijn, maar waarschijnlijk de cacheservers van die bewuste sites. Of er een connectie is met de aanval op de cacheservers van Akamai eerder deze maand, is niet bekend.
Alleen servers met Microsofts IIS lijken overigens geïnfecteerd te kunnen worden met de kwaadaardige code. De code zelf heeft het vervolgens alleen voorzien op internetters met een Windows-pc in combinatie met Internet Explorer. Hoe de IIS-servers zelf besmet raken, is nog niet bekend.
Onderzoekers van het SANS Internet Storm Center vrezen dat er mogelijk sprake is van een zogenoemde zero-day exploit, waarbij er al een exploit rondwaart voor de leverancier van de gecompromitteerde software een oplossing heeft gevonden.
Om de schade enigszins te kunnen beperken, publiceert SANS geen lijst van besmette sites om verder misbruik te voorkomen. Wel constateren de onderzoekers dat de lijst lang is en namen bevat van bedrijven die geacht worden volledig gepatchte systemen te hebben.
Bron: Webwereld.nl van Vrijdag, 25 juni 2004
Grote sites besmetten pc's voor massale spamaanval
Blue-Sky schreef:Het onderzoekscentrum heeft inmiddels ontdekt dat de code ook een Trojaans paard installeert genaamd msits.exe. Wat het Trojaans paard exact doet, is nog niet bekend.
Searchke gedaan naar die file en al een geluk niets gevonden.
Blue-Sky schreef:airzimmy schreef:Dit klinkt pas gezellig
Ja...en het is toch zó eenvoudig te vermijden als iedereen tijdig de voorziene patches zou uitvoeren.
Blue-Sky schreef:Onderzoekers van het SANS Internet Storm Center vrezen dat er mogelijk sprake is van een zogenoemde zero-day exploit, waarbij er al een exploit rondwaart voor de leverancier van de gecompromitteerde software een oplossing heeft gevonden.
Wil volgens mij zeggen dat er nog geen patch voor beschikbaar is, nie?
-
gamefreak977
- Premium Member
- Berichten: 500
- Lid geworden op: 19 sep 2003, 21:39
- Locatie: Gentbrugge
Lukse schreef:Blue-Sky schreef:airzimmy schreef:Dit klinkt pas gezellig
Ja...en het is toch zó eenvoudig te vermijden als iedereen tijdig de voorziene patches zou uitvoeren.Blue-Sky schreef:Onderzoekers van het SANS Internet Storm Center vrezen dat er mogelijk sprake is van een zogenoemde zero-day exploit, waarbij er al een exploit rondwaart voor de leverancier van de gecompromitteerde software een oplossing heeft gevonden.
Wil volgens mij zeggen dat er nog geen patch voor beschikbaar is, nie?
Ik dacht net hetzelfde
Ziet er wel nie goe uit.
Internet Explorer beter niet gebruiken wegens computervirus UPDATE
Volgens de BBC raden sommige deskundigen alle computergebruikers aan Internet Explorer niet meer te gebruiken vooraleer Microsoft een oplossing, een "patch", heeft gevonden voor het veiligheidsgaatje in de Internetbrowser. Deskundigen spreken van een "loophole" dat criminelen in staat stelt de controle over de computer over te nemen. De lijst van geïnfecteerde sites, tot banken toe, groeit snel. De code om het "loophole" te exploiteren staat immers op veel populaire websites. Hoe die aan de code zijn geraakt is nog onduidelijk, aldus de BBC. Anti-virusbedrijven zoeken naar detectiemiddelen. Thuisgebruikers wordt ook aangeraden hun browser op te waarderen en hun Javascript af te zetten, zegt de BBC. Daardoor kunnen wellicht sommige webpagina's niet meer te consulteren zijn. (AHS)
Bron: Belgacom Computer News van 25/06/2004
Volgens de BBC raden sommige deskundigen alle computergebruikers aan Internet Explorer niet meer te gebruiken vooraleer Microsoft een oplossing, een "patch", heeft gevonden voor het veiligheidsgaatje in de Internetbrowser. Deskundigen spreken van een "loophole" dat criminelen in staat stelt de controle over de computer over te nemen. De lijst van geïnfecteerde sites, tot banken toe, groeit snel. De code om het "loophole" te exploiteren staat immers op veel populaire websites. Hoe die aan de code zijn geraakt is nog onduidelijk, aldus de BBC. Anti-virusbedrijven zoeken naar detectiemiddelen. Thuisgebruikers wordt ook aangeraden hun browser op te waarderen en hun Javascript af te zetten, zegt de BBC. Daardoor kunnen wellicht sommige webpagina's niet meer te consulteren zijn. (AHS)
Bron: Belgacom Computer News van 25/06/2004
IIS-servers besmet met kwaadaardige JavaScript-code.
Ofwel een alternatieve browser, zoals Sub Zero schreef in quote.
Persoonlijk heb ik voorlopig JAVA uitgeschakeld.
TIP 1 Increase Your Browsing and E-Mail Safety
TIP 2 Internet Storm Center
TIP 3 C.Net News Com
Lees hier wat [url=http://www.hbvl.be/nieuws/wetenschap/default.asp?art={DFB76F19-4086-4284-B367-59C02759A2AB}]het Belang van Limburg [/url] er over schrijft.
Globaal % besmette PC's Virus Info
Er is wel een remedie tegen deze besmetting: het uitzetten van JavaScript.Sub Zero schreef:Wel, dat is een goeie gewoonte om niet met IE te surfenIk gebruik nu al een klein jaar Opera en ik beklaag het mij totaal niet.
Ofwel een alternatieve browser, zoals Sub Zero schreef in quote.
Persoonlijk heb ik voorlopig JAVA uitgeschakeld.
TIP 1 Increase Your Browsing and E-Mail Safety
TIP 2 Internet Storm Center
TIP 3 C.Net News Com
Lees hier wat [url=http://www.hbvl.be/nieuws/wetenschap/default.asp?art={DFB76F19-4086-4284-B367-59C02759A2AB}]het Belang van Limburg [/url] er over schrijft.
Globaal % besmette PC's Virus Info
Laatst gewijzigd door Blue-Sky 28 jun 2004, 05:14, in totaal 1 gewijzigd.
