|
|
|
Descrição em português do vírus wwww.sl (summary of the previous post in portuguese) |
Si vous voulez bloquer ce service sur vos fils RSS
Si vous voulez nous contacter ou nous proposer un fil RSS
Menu > Articles de la revue de presse : - l'ensemble [ tous | francophone] - par mots clé [ tous] - par site [ tous] - le tagwall [ voir] - Top bi-hebdo de la revue de presse [ Voir]
Présentation : Percebi que muitos Brasileiros estão entrando no blog, provavelmente para informações relativas à mensagem pop-up perguntando se a internauta quer executar um applet. Para facilitar a vida de todo mundo, vou compartilhar o que sei aqui em português, mesmo que o idioma padrão do meu blog é inglês. Vamos lá, a mensagem pop-up de qual estou falando é essa: (printscreen do Sistema Operacional Microsoft Windows) O fato de seu computador apresentar a tela em si não necessariamente implica infecção com vírus. A janela aparece, porque um servidor DNS do provedor de internet NET foi comprometido de tal forma que os sites que usam o sistema de propaganda da Google, chamado AdSense, estavam tentando rodar um aplicativo (applet) malicioso. Caso você clicou no "Cancel", e não no "Run" você provavelmente está salvo deste vírus. O comprometimento acima descrito aconteceu na sexta-feira, dia 3 de Abril à noite. O problema ou já foi resolvido, ou se resolveu sozinho. A causa mais provável para você ainda estar vendo a mensagem, é que seu navegador deve ter guardado a versão maliciosa da página no cache dele. Para se livrar do peste, limpe/remove os arquivos temporários. (Como fazer). Caso você em algum momento clicou em "Run" (executar), e executou o aplicativo é possível que seu computador foi infectado. Procure desinfetar sua maquina com um bom antivírus, solicitando a ajuda do seu suporte técnico caso necessário. Para os mais entendidos de assuntos técnicos, vou descrever com mais detalhes o funcionamento do aplicativo malicioso: O DNS da NET Vírtua estava dando o IP errado 68.23.204.165 como o endereço do pagead2.googlesyndication.com, que é o endereço de qual o javascript relativo ao AdSense é buscado. O javascript que veio do IP 68.23.204.165 era ofuscado e criava dinamicamente o tag applet para executar um applet assinado, chamado debug.jar de um servidor wwww.sl. A mensagem pop-up acima é o mecanismo de segurança do browser, que pede sua permissão para a execução de um aplicativo com permissões elevadas. Caso ceder essas permissões, o aplicativo nesse caso fará um download de desse arquivo: hxxp://wwww.sl/voxcards.com.br/imagem.exe (o http do link alterado para hxxp para evitar alguém de executar isso sem querer. Não baixe, e não rode esse arquivo.) Depois de ter feito download, o imagem.exe será executado na sua maquina. Não tive tempo para fazer um analise detalhado o que o executável faz, mas eu analisei o arquivo utilizando o serviço virustotal.com, e vários antivírus detectam esse arquivo como malicioso: a-squared 4.0.0.101 2009.04.04 Trojan-Downloader.Win32.Banload!IK AntiVir 7.9.0.129 2009.04.03 TR/Spy.Banker.Gen eSafe 7.0.17.0 2009.04.02 Suspicious File F-Secure 8.0.14470.0 2009.04.03 Suspicious:W32/Malware!Gemini Ikarus T3.1.1.49.0 2009.04.04 Trojan-Downloader.Win32.Banload McAfee-GW-Edition 6.7.6 2009.04.03 Trojan.Spy.Banker.Gen Sophos 4.40.0 2009.04.04 Sus/BancDl-A []
Les derniers articles du site " Slightly Random Broken Thoughts" :
- Java 6 update 26 is out
- Inflated Java Malware Infection Rates
- Oracle Java Applet Clipboard Injection Remote Code Execution Vulnerability
- Java JFileChooser Programmatic Manipulation Vulnerability
- Trusted Method Chaining for Network Interface details
- Trusted Method Chaining to a System.exit
- Hazards of Duke
- Java 6 Update 22 is out
- Breaking Defensive Serialization
- Why Complex Powerful is a bad combination for security
Menu > Articles de la revue de presse : - l'ensemble [ tous | francophone] - par mots clé [ tous] - par site [ tous] - le tagwall [ voir] - Top bi-hebdo de la revue de presse [ Voir]
Si vous voulez bloquer ce service sur vos fils RSS :
- avec iptables "iptables -A INPUT -s 88.191.75.173 --dport 80 -j DROP"
- avec ipfw et wipfw "ipfw add deny from 88.191.75.173 to any 80"
- Nous contacter par mail
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
