image

Kwaadaardige Flash-banners kapen klembord

dinsdag 19 augustus 2008, 09:56 door Redactie, 33 reacties

Kwaadaardige Flash-banners zijn de oorzaak dat zowel Windows, Mac als Linux gebruikers met gekaapte klemborden te maken krijgen. Eerder werden de advertenties al ingezet voor het automatisch doorsturen van internetgebruikers naar frauduleuze websites.

De Israelische beveiligingsonderzoeker Aviv Raff heeft een proof-of-concept demo gemaakt die laat zien hoe eenvoudig het is om via Flash met ActionScript code continu een kwaadaardige URL op het klembord te plaatsen. Wie deze link opent kan het klembord alleen weer leeg maken door de browser af te sluiten.

De kwaadaardige Flash-banners zijn aangetroffen op Newsweek, Digg en MSNBC.com en proberen gebruikers via het gekaapte klembord zover te krijgen dat ze een website bezoeken die ze laat denken dat hun systeem met malware besmet is.

Reacties (33)
19-08-2008, 10:15 door spatieman
mompelt iets van, firefox en flashblok extentie...
19-08-2008, 10:16 door Anoniem
Ik las laatst ergens dat de Mozilla Foundation overweegt de
NoScript plugin per default mee te shippen. Goede zaak, dat
zou ook veel van dit soort ellende buiten de deur houden.
19-08-2008, 10:26 door SirDice
I hate to say, I told you so...
19-08-2008, 12:08 door Anoniem
firefox+adblock klaart de klus wel
19-08-2008, 12:33 door Nomen Nescio
Door Anoniem
firefox+adblock klaart de klus wel
Die blokkering is in IE anders ook in te stellen hoor.
19-08-2008, 12:43 door Eerde
Onzin verhaal zoals dat van gisteren.
Zowel onder Konqueror als Firefox werkt het niet ! (openSuSE
11.0/KDE4.2)

Ik kan, ervoor natuurlijk en ook erna, gewoon knippen/plakken de
geplaatste link op het klembord doet niets, helemaal niets.
In Firefox heb ik geen "No-Script" aanstaan, zelfs nog niet geinstalleerd.
19-08-2008, 13:17 door Goeroeboeroe
Bij mij werkt het wel gedeeltelijk op Kubuntu. De link wordt
automatisch op het klembord geplaatst als ik die site
bezoek, zonder dat ik er iets van merk.
Ik gebruik Klipper,wat de mogelijkheid geeft tot 20 stukken
tekst e.d. op het klembord.
Als die link erop staat, worden nieuwe kopieën ónder die
link geplaatst, wat normaal niet zo is: het laatste hoort
bovenaan te worden geplaatst, zodat je steeds het laatste
wat je hebt gekopieerd plakt. Als je niet oplet kopieer je
dus inderdaad die link en niet datgene wat je het laatst
hebt gekopieerd.
Als ik het klembord leeg op de normale manier (via Klipper)
blijft die link staan, als enige. Ik heb nog nooit gezien
dat het klembord niet helemaal werd geleegd, dus op een of
andere manier is het klembord (of wat dan ook) wel degelijk
gemanipuleerd.

Als ik het klembord heb geleegd, gaat het daarna iets
anders: als ik nu iets nieuws kopieer komt dat op de normale
manier weer bovenaan te staan. En bij legen van het klembord
wordt nu ook de link verwijderd. Twee keer het klembord
legen volstaat dus voor mij.
Het is dus volgens mij niet zonder meer onzin, want er
gebeurt bij mij onder Linux wel degelijk iets heel vreemds
wat niet zou horen. Het is wel makkelijker te verwijderen
dan kennelijk onder Windows het geval is.
En het hoort natuurlijk sowieso niet dat er iets naar mijn
klembord wordt gekopieerd zonder dat ik daar ook maar iets
van merk. Of 't nou Linux of Windows is.
Met NoScript aan gebeurt er trouwens niets.

Vergeten: KDE 3.5.8 Kubuntu 7.10
19-08-2008, 13:24 door SirDice
Door Eerde
Onzin verhaal zoals dat van gisteren.
Zowel onder Konqueror als Firefox werkt het niet ! (openSuSE 11.0/KDE4.2)
OpenSuSe 11.0/GNOME werkt het wel. Geen onzin verhaal dus.

Ubuntu wil ik best ook nog even proberen maar omdat deze ook GNOME gebruikt ga ik er vanuit dat het daar ook werkt.
19-08-2008, 13:58 door Eerde
Door Goeroeboeroe
De link wordt automatisch op het klembord geplaatst als ik die site
bezoek, zonder dat ik er iets van merk.
Ik gebruik Klipper,wat de mogelijkheid geeft tot 20 stukken
tekst e.d. op het klembord.
Als die link erop staat, worden nieuwe kopie?n ?nder die
link geplaatst, wat normaal niet zo is: het laatste hoort
bovenaan te worden geplaatst, zodat je steeds het laatste
wat je hebt gekopieerd plakt.

Het automatisch plaatsen op je klembord (Klipper) is een feature,
normaal als je het selecteert nu gedaan door die site. Ongewenst
zonder interactie, maar onschadelijk.
Een hele oude bug van Klipper is dat soms de laatst geselecteerde
tekst/link niet altijd bovenaan komt te staan.

Verder kan je klipper instellen om niet de laatste 20 'entries' te bewaren
maar bv de laatste 500, zoals ik bv doe.
19-08-2008, 13:59 door Eerde
En voor SirFUD, het werkt bij mij ook niet onder Gnome !
19-08-2008, 14:06 door SirDice
Door Eerde
En voor SirFUD, het werkt bij mij ook niet onder Gnome !
Dat doe je toch iets fout of iets anders. Ik heb een gewone kale OpenSuSe11 met GNOME geinstalleerd, die link geklikt en vervolgens op een leeg tekst veld geplakt. Er komt netjes http://www.evil.com te staan zoals aangegeven.

Wel het browser venster open laten staan natuurlijk..


Het automatisch plaatsen op je klembord (Klipper) is een feature, normaal als je het selecteert nu gedaan door die site. Ongewenst zonder interactie, maar onschadelijk.
Je lijkt MS wel.. Eerst is het onmogelijk en onzin. Nu er ook anderen zijn die het verhaal bevestigen is het ineens wel mogelijk maar onschadelijk... Duh..
19-08-2008, 15:09 door Karl Hungus
Door Eerde
Onzin verhaal zoals dat van gisteren.
Zowel onder Konqueror als Firefox werkt het niet ! (openSuSE
11.0/KDE4.2)
Omdat het bij jou niet werkt, doet het dat bij niemand en
bestaat het niet?
Da's knap geredeneerd. Doe zo verder!
19-08-2008, 16:12 door Eerde
Ook de manier waarop SirFUD het werkend weet te krijgen duidt op zeer
veel "user interaction", onzin dus !
19-08-2008, 16:22 door Eerde
PS daar komt bij dat SirFUD het op de verkeerde manier doet, natuurlijk
kan je je laatste "copy" ergens "pasten" dat is een feature en dus de
bedoeling, het gaat er om dat je eerst enkele andere "copies" doet en
dat het *kuch* overgenomen klembord toch weer http://www.evil.com
"paste".
En dat is niet zo !
19-08-2008, 16:29 door Eerde
Verder kan je nog even hier kijken voor mijn virus FUD bezwaren.
http://www.security.nl/article/19338
19-08-2008, 17:06 door Goeroeboeroe
Door Eerde
Door Goeroeboeroe
De link wordt automatisch op het klembord geplaatst als ik
die site
bezoek, zonder dat ik er iets van merk.
Ik gebruik Klipper,wat de mogelijkheid geeft tot 20 stukken
tekst e.d. op het klembord.
Als die link erop staat, worden nieuwe kopie?n ?nder die
link geplaatst, wat normaal niet zo is: het laatste hoort
bovenaan te worden geplaatst, zodat je steeds het laatste
wat je hebt gekopieerd plakt.

Het automatisch plaatsen op je klembord (Klipper) is een
feature,
normaal als je het selecteert nu gedaan door die site. Ongewenst
zonder interactie, maar onschadelijk.
Een hele oude bug van Klipper is dat soms de laatst
geselecteerde
tekst/link niet altijd bovenaan komt te staan.

Verder kan je klipper instellen om niet de laatste 20
'entries' te bewaren
maar bv de laatste 500, zoals ik bv doe.

Absolute flauwekul. Ik werk inmiddels al zo'n drie jaar met
Klipper en die bug heb ik nog nooit gezien. Toch wel
toevallig, niet?
't Niet legen van Klipper (alleen die link blijft staan) heb
ik ook nog nooit geconstateerd. En als je Klipper leegt ZIE
je wat er blijft staan, dus als er eerder dingen waren
blijven staan had ik dat vast wel 'ns gezien.
Ja, ik kan waarschijnlijk ook wel 5000 ingangen laten staan,
maar wat heeft dat hiermee te maken?

Dat automatisch plaatsen op het klipbord is mij bekend. Maar
op die site gebeurde dat dus zonder dat ik iets heb
geselecteerd of wat dan ook. Ik kreeg 'n volkomen leeg
scherm (nadat ik NoScript had uitgeschakeld). 'n Helemaal
wit scherm, dus hoe kon ik dan iets selecteren? Toch stond
die evil-link op m'n klembord.

Misschien is 't 'n schok voor je, maar ook Linux is gewoon
niet voor de eeuwigheid altijd honderd procent superveilig
en onkwetsbaar. Wel veel veiliger dan Windows, maar helaas
niet volmaakt. Ik vind 't persoonlijk FUD als inmiddels knap
wat mensen 'n bepaalde potentieel gevaarlijke actie
vaststellen, en iemand blijft roepen dat 't allemaal onzin
is. Zo maak je Linux bepaald niet veiliger en populairder.

Aanvulling: terwijl die link inmiddels op de vijfde plaats staat, wordt in de Konsole die link gekopieerd. Wat dus gewoon niet zou moeten kunnen. En als je die link ongemerkt op het klembord kunt zetten, en zelfs bovenaan kunt houden, dan kun je ook andere geestige commando's op je klembord zetten, lijkt mij.
Hoewel die link dus op de vijfde plaats van boven staat, wordt in de adresbalk van Firefox die link gekopieerd en NIET de bovenste ingang.
Ik zeg niet dat het 'n levensgevaarlijk virus is of zo, maar feit is wel dat ongemerkt potentieel gevaarlijke inganen in je klembord kunnen worden gezet, die ook nog 'ns de normale werking daarvan verstoren. Maar goed, er is 'n groep Linux-gebruikers die elk potentieel gevaar altijd ontkennen.
19-08-2008, 17:19 door prikkebeen
Het heeft in dit geval eigenlijk niets met het
besturingssysteem te maken. het is Flash i.c.m. een browser
die dit mogelijk maakt. Niets is 100% veilig.Mooie discussie
voor flamewars weer.
19-08-2008, 17:28 door SirDice
Door Goeroeboeroe
Ik vind 't persoonlijk FUD als inmiddels knap wat mensen 'n
bepaalde potentieel gevaarlijke actie vaststellen, en iemand
blijft roepen dat 't allemaal onzin is. Zo maak je Linux
bepaald niet veiliger en populairder.
Amen to that :)

Maar goed, er is 'n groep Linux-gebruikers die elk
potentieel gevaar altijd ontkennen.
Helaas heb je gelijk. Eerde is daar een "goed" voorbeeld van.
19-08-2008, 17:32 door SirDice
Door prikkebeen
Het heeft in dit geval eigenlijk niets met het
besturingssysteem te maken. het is Flash i.c.m. een browser
die dit mogelijk maakt. Niets is 100% veilig.
Mee eens. Overigens geeft dit wel aan dat er potentie is
voor cross-platform malware.
19-08-2008, 17:43 door Eerde
Waar de FUD mannetjes alleen aan voorbij gaan is dat het niet werkt....
onder Linux, klein puntje om mee te nemen.

Niemand heeft mij ooit (!) een Linux virus kunnen tonen die "in the wild"
voorkomt en waarmee GNU/Linux gebruikers mee geinfecteerd raken.

Niemand, ooit !
19-08-2008, 17:48 door Eerde
Hier ook maar even dan voor de duidelijkheid omdat velen niet verder
lezen;


Door AnoniemEr zijn diverse Linux virussen in omloop, al jaren.
Het is mijn vak dat te weten. Jij kunt het ook weten als je maar de
moeite doet om het op te zoeken. Een voorbeeld is RST.

Oops, maar goed dat je je naam er niet bij zet. Want als het je vak
is het te weten, zijn je klanten aan de goden overgeleverd !
Jij bent nl degene die niet kan lezen;

1. Linux/Rst-A of B is een 'scare' uit 2002
2. Het zou ELF files infecteren, maar die heb ik nooit in mijn 'current
directory'.
3. Het kan alleen handmatig als root uitgevoerd worden, nu als je root
rechten hebt en je installeert handmatig het virus Linux/Rst-B zou je
geen root rechten moeten hebben.
http://us.mcafee.com/virusInfo/defa...on&virus_k=9997


Method of Infection
-Manually running the malicious file initializes the infection, if the user
has emough rights to change (write to) files.

4. Het komt in het wild alleen voor (theoretisch) als een van de WC-eend
piepeltjes het meld, nooit never door een gebruiker ergen in het wild !
5. Pas nadat een Linux box (server) was gehackt kan het geinstalleerd
worden, maar dat is met alles zo.
http://linuxpoison.blogspot.com/200...linuxrst-b-can-
Note most rst-b were left after a system was already
compromised.
6. http://www.viruslist.com/en/viruses...a?virusid=21734
The virus infects all the Linux binary executables in the current
directory and the /bin directory
Humor, hoe kan een virus zich installeren in mijn /bin ? Dan zal er op
zijn minst een root password aan te pas moeten komen....

Allemaal FUD dus van WC-eend mannetjes dat door de onwetenden
graag wordt overgenomen zonder zelf na te denken.
19-08-2008, 17:51 door SirDice
Allemaal FUD dus van WC-eend mannetjes dat door de onwetenden graag wordt overgenomen zonder zelf na te denken.
De enige onwetende hier ben jij.

Maar goed.. Thou, Piltot en Impok.. Heb je weer wat uit te zoeken..
19-08-2008, 17:58 door Goeroeboeroe
Beste Eerde,
Jij bent de enige die het 'n virus noemt. Althans hier op
security.nl
Voorzover ik kan zien heeft dit geen ene moer te maken met
'n virus, dus het melden dat 'n virus op Linux niet werkt is
overbodig. Phishing werkt ook onder Linux en heeft ook niets
met 'n virus te maken.
Waar het om gaat: iemand bezoekt 'n site. Volkomen ongemerkt
wordt iets op het klembord gezet. In Linux ook dus, in ieder
geval bij 'n aantal distributies/omgevingen en in ieder
geval in Firefox.
Dan kun je daar dus, lijkt mij, ook potentieel gevaarlijke
commando's en dergelijke op zetten.
Verder is het moeilijk om dat gekopieerde te verwijderen en
vervangt het het laatst gekopieerde, in ieder geval tijdelijk.
Het blijkt dus mogelijk om kopiëren en plakken te
beïnvloeden., ook onder Linux. Dat heeft volgens mij geen
ene moer met 'n virus te maken, maar het geeft de
mogelijkheid voor potentieel gevaarlijke acties. Dat is alles.
Dat het verder minder onveilig is, zeer waarschijnlijk,
onder Linux dan onder Windows, is 'n heel andere discussie.
Als het jou niet lukt om die link volautomatisch op je
klembord te krijgen en daar te laten staan, dan werkt het
kennelijk niet onder jouw distributie/omgeving. Of je doet
iets verkeerd.
Verder heb ik 'n tamelijk feitelijk verslag gegeven van wat
ik heb gedaan. Als dat bij jou tot Angst, Onzekerheid en
Twijfel leidt, tja, misschien moet je dan 'ns op 'n ander
forum om raad vragen :o)
19-08-2008, 17:59 door SirDice
Door Eerde
PS daar komt bij dat SirFUD het op de verkeerde manier doet, natuurlijk kan je je laatste "copy" ergens "pasten" dat is een feature en dus de bedoeling, het gaat er om dat je eerst enkele andere quot;copies"
doet en dat het *kuch* overgenomen klembord toch weer http://www.evil.com "paste".
En dat is niet zo !
Je hebt gelijk.. Ik deed het niet helemaal goed.
Dit keer meerdere dingen gekopieerd naar het klembord..
Hey.. Iedere keer als ik plak staat er http://www.evil.com..
Wat ik ook Copy, alles wat ik plak is http://www.evil.com..
Tot ik de browser sluit en dan is alles weer normaal..

Maar het maakt niet uit hoor of JIJ het gelooft of niet of dat JIJ het allemaal onzin vindt. Gelukkig zijn hier nog genoeg anderen die wel hun hoofd gebruiken.
19-08-2008, 18:01 door Goeroeboeroe
Door prikkebeen
Het heeft in dit geval eigenlijk niets met het
besturingssysteem te maken. het is Flash i.c.m. een browser
die dit mogelijk maakt. Niets is 100% veilig.Mooie discussie
voor flamewars weer.
Ja, daar heeft het volgens mij ook alle schijn van.
19-08-2008, 18:32 door Eerde
@Goeroeboeroe
Eerst goed lezen voordat je dingen beweert die ik geschreven zou
hebben die ik helemaal niet geschreven heb.

Ik heb wel degelijk geschreven dat de link in mijn klembord (Klipper)
verschijnt.
Verder noem ik het nergens een virus deze klipperFUD, alweer een leugen.
Ophouden met jullie 'stemmingmakerij'.

Wat schuift dat nou ?
Ik bedoel werk je voor M$, of betalen die jullie om dit soort onzin keer op
keer te posten op div forums/reactie pags ?
19-08-2008, 18:41 door Goeroeboeroe
Oké, nog een reactie dan op Eerde. Ik beken. Ik krijg vet
betaald door Microsoft. En mede dankzij jou nu dubbel:
overuren, joepie!
Microsoft betaald mij onder andere om met Kubuntu te werken,
zodat ik stiekem alle fouten aan hun kan vertellen. Dat
schuift lekker, want je weet natuurlijk dat Kubuntu echt
vreselijk veel fouten bevat. En ik krijg ook voor elke fout
betaald!!!! Nu zie ik dat Kubuntu niet standaard in de
spellingcontrole zit, joepie, weer tien euro! Dank je wel,
Eerde.
Naast dit verraad ben ik ook nog zo corrupt als de pest. Ik
ben met een zekere Mark S. van Canonical (ik mag om
begrijpelijke redenen de naam niet noemen) in onderhandeling
of ik niet voor hun kan gaan werken. Nou, als ze genoeg
schuiven... Dan ga ik weer met Windows werken en de fouten
van Windows stiekem vertellen aan Mark S. Dat is trouwens 'n
echte hoogvlieger, zeg, wist je dat? Die vloog hoger dan wie
dan ook. Jammer dat ik z'n naam niet mag zeggen.
Nou, Eerde, ik heb nu denk op jouw niveau geantwoord en ik
zou zeggen: slaap lekker en snaveltje toe!
19-08-2008, 18:46 door Eerde
Ach, nu je het met leugens niet kan bereiken ga je satire gebruiken......
hmmmm, lukt je ook al niet !
19-08-2008, 18:53 door Anoniem
Another message full of FUD...
Werkt niet zoals beschreven, ik heb hem net geprobeerd onder
linux..
En ja als ik de site open heb staan kan ik alleen evil.com
plakken..
Maar zodra ik DE SITE, (Let op de site, niet m'n browser
(firefox)) afsluit kan ik gewoon weer normaal kopieeren en
plakken..
Afterwijl: Bullshit!
19-08-2008, 19:56 door SirDice
Door Eerde
Ach, nu je het met leugens niet kan bereiken ga je satire
gebruiken......
hmmmm, lukt je ook al niet !
http://icanhascheezburger.com/2008/08/17/funny-pictures-has-been-noted/
20-08-2008, 09:57 door SirDice
Door Anoniem
Werkt niet zoals beschreven, ik heb hem net geprobeerd onder linux..
En ja als ik de site open heb staan kan ik alleen evil.com plakken..
Maar zodra ik DE SITE, (Let op de site, niet m'n browser (firefox)) afsluit kan ik gewoon weer normaal kopieeren en plakken..
Errrr.. Dat is exact wat het moet doen.
20-08-2008, 11:41 door SirDice
Door Eerde
2. Het zou ELF files infecteren, maar die heb ik nooit in mijn 'current directory'.
Het volgende lost dat simpel op..
find / -type f -a ( ( -user `id -u` -a -perm -0700 ) -o ( -group `id -g` -a -perm -0070 ) -o ( -perm -0007 ) ) -exec ln -s {} ;
3. Het kan alleen handmatig als root uitgevoerd worden,
Onjuist. Je hebt schrijf rechten nodig, niets meer. Elke gebruiker kan 'm uitvoeren, er zijn verder geen "speciale" rechten nodig.


Method of Infection
-Manually running the malicious file initializes the infection, if the user has emough rights to change (write to) files.


4. Het komt in het wild alleen voor (theoretisch) als een van de WC-eend piepeltjes het meld, nooit never door een gebruiker ergen in het wild !
Een variant van Lupii/Lupper dropte 'm en is zeker wel "in het wild" gezien..
http://isc.sans.org/diary.html?storyid=823
http://vil.nai.com/vil/content/v_136856.htm

5. Pas nadat een Linux box (server) was gehackt kan het geinstalleerd worden, maar dat is met alles zo.
Op zich wel correct maar de machine hoeft niet gehackt te worden. Een gebruiker zover krijgen dat'ie 'm uitvoert is voldoende (denk bijvoorbeeld eens aan NetSky en MyDoom).


6. http://www.viruslist.com/en/viruses...a?virusid=21734
The virus infects all the Linux binary executables in the current directory and the /bin directory
Humor, hoe kan een virus zich installeren in mijn /bin ? Dan zal er op zijn minst een root password aan te pas moeten komen....
Gedeeltelijk correct. Je hebt schrijfrechten nodig, dat root die altijd en overal heeft is mooi meegenomen maar root rechten zijn niet per definitie noodzakelijk.
24-08-2008, 12:37 door Anoniem
Het volgende lost dat simpel op..
find / -type f -a \( \( -user `id -u` -a -perm -0700 \) -o
\( -group `id -g` -a -perm -0070 \) -o \( -perm -0007 \) \)
-exec ln -s {} \;
Zo maak je soft/symbolic links in je current directory naar
een aantal executables. Die soft links geven overigens nog
steeds geen schrijfrechten op de betreffende executables.
Dus ook als de malware zelf deze links zou maken, krijgt het
daarmee niet vanzelf schrijfrechten. Dus wat voor zin heeft
dit stoere commando dan?

De links http://isc.sans.org/diary.html?storyid=823 en
http://vil.nai.com/vil/content/v_136856.htm zijn uit
resp. 2005-11-05 en 2006-02-21. Is dat de recentste
informatie die je kan noemen?

Je hebt schrijfrechten nodig, dat root die altijd en
overal heeft is mooi meegenomen maar root rechten zijn niet
per definitie noodzakelijk.
Wanneer en waarom niet?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.