163.js websites: opnieuw geinfecteerd of nog steeds?
10-03-2007,20:10 door
Op [url=http://isc.sans.org/diary.html?storyid=2397]Internet Storm Center[/url] wijst Maarten van Horenbeeck op een reeks geinfecteerde websites die malware op je PC proberen te installeren. Zo te zien gebeurt dat doordat een deel van de inhoud van de 'title' regel van de gekraakte webpage is vervangen door een call naar een site in China waar 163.js wordt gedownload. Op zijn beurt zal 163.js een webpage met daarin o.a. vbscript downloaden, die ik niet onderzocht heb (zie de SANS site voor details).
Om zelf een overzicht te krijgen van geinfecteerde sites (nergens op clicken!), Google naar: smeisp 163.js
Terzijde, Google heeft technologie die je voor gevaarlijke webpages zou moeten waarschuwen, maar dat lijkt in dit geval niet te werken.
De malware die je opgedrongen kunt krijgen werd volgens ISC vanmorgen door geen enkele virusscanner herkend, nu zijn dat er een stuk of zeven.
Hoe de websites gekraakt worden is niet zeker, maar het lijken allemaal IIS 5.0 of 6.0 websites te zijn. Wat mij opviel was dat een aantal sites bij de http handshake melden: MicrosoftOfficeWebServer: 5.0_Pub
Op basis van die zoekstring ge-Googled: [url=http://sqljunkies.com/Article/525B575A-7F61-483A-AC8F-FEC700C34674.scuk]sqljunkies[/url] vermeldt dat je, na het verplaatsen van de virtual directories van 'Reporting Services' wel even moet doen:
Ik heb geen idee of reporting en/of sharepont services iets met deze cracks te maken zouden kunnen hebben. Is er toevallig een lezer die hier meer van weet?
Scary is dat sites als InstallShield ook kraakbaar blijken, een site die typisch door softwareontwikkelaars wordt bezocht (volgens de Google cache hiervan was deze site in elk geval besmet op 6 maart, maar de eerder besmette page was vandaag schoon).
Ten slotte, van de sites die volgens [url=http://isc.sans.org/diary.html?storyid=2166]SANS[/url] begin februari al 'besmet' waren met vergelijkbare malware, zie ik een aantal weer terug: de al genoemde stariq.com (die volgens de Google cache page al op 27 feb drager was van 163.js, maar op dit moment niet meer) maar ook totallydrivers.com - saillant detail: op een page waar je 'IE Privacy Keeper 2.3' kunt downloaden, en die page was zojuist nog wel 'besmet'.
Om zelf een overzicht te krijgen van geinfecteerde sites (nergens op clicken!), Google naar: smeisp 163.js
Terzijde, Google heeft technologie die je voor gevaarlijke webpages zou moeten waarschuwen, maar dat lijkt in dit geval niet te werken.
De malware die je opgedrongen kunt krijgen werd volgens ISC vanmorgen door geen enkele virusscanner herkend, nu zijn dat er een stuk of zeven.
Hoe de websites gekraakt worden is niet zeker, maar het lijken allemaal IIS 5.0 of 6.0 websites te zijn. Wat mij opviel was dat een aantal sites bij de http handshake melden: MicrosoftOfficeWebServer: 5.0_Pub
Op basis van die zoekstring ge-Googled: [url=http://sqljunkies.com/Article/525B575A-7F61-483A-AC8F-FEC700C34674.scuk]sqljunkies[/url] vermeldt dat je, na het verplaatsen van de virtual directories van 'Reporting Services' wel even moet doen:
On the Directory Security tab, Authentication and Access Control, Edit button, deselect the "Enable Anonymous Access" check box.
Microsoft geeft in [url=http://www.microsoft.com/technet/prodtechnol/sppt/SharePnt/cnt_save.mspx]deze page[/url] aan hoe je kunt toestaan of juist dichtzetten dat met een webbrowser files gesaved kunnen worden op een server waar 'SharePoint Team Services' op draait.
Ik heb geen idee of reporting en/of sharepont services iets met deze cracks te maken zouden kunnen hebben. Is er toevallig een lezer die hier meer van weet?
Scary is dat sites als InstallShield ook kraakbaar blijken, een site die typisch door softwareontwikkelaars wordt bezocht (volgens de Google cache hiervan was deze site in elk geval besmet op 6 maart, maar de eerder besmette page was vandaag schoon).
Ten slotte, van de sites die volgens [url=http://isc.sans.org/diary.html?storyid=2166]SANS[/url] begin februari al 'besmet' waren met vergelijkbare malware, zie ik een aantal weer terug: de al genoemde stariq.com (die volgens de Google cache page al op 27 feb drager was van 163.js, maar op dit moment niet meer) maar ook totallydrivers.com - saillant detail: op een page waar je 'IE Privacy Keeper 2.3' kunt downloaden, en die page was zojuist nog wel 'besmet'.
