ESET NOD32 v8 + WIN 7 + MSIE = blokace webu

[Marcos]

Dobry den,
detekcia je spravna, jedna sa o skodlivy obfuskovany java skript, ktory vyzera zhruba nasledovne:

js_kryptik_ayr.png (17.54 KiB) Zobrazeno 1557 x

[Ipanema]

V tom případě je verze 8 antiviru několikanásobně lepší než verze 9
A ještě by jsme se měli vrátit zpět k MSIE a né jen z něho stáhnout jiný prohlížeč

[Marcos]

Tato detekcia by nemala zavisiet od verzie programu ESET, skript deteguje aj v9. Ide o to, ze do stranky sa injektuje len za urcitych podmienok. Idealne by bolo mat pristup k takto napadnutemu serveru, nakolko tam bude pravdepodobne aj iny malware zodpovedny za toto injektovanie.

[mskarka]

Také se vracím k problému se svým webem.
Zde uvedený script jsem sice na svém webu nikde nenalezl (používám agent Ransack a zkoušel jsem i jeho drobné části), nicméněse mi včera v noci ozval správce webhostingu:

Kód: Vybrat vše

evidujeme ilegální aktivitu na Vaší doméně v podobě hromadného rozesílání nevyžádaných a podvodných zpráv. 

Z tohoto důvodu byl HTTP přístup k doméně omezen, je zakázáno HTTP POST a PUT. 

Podezřelé soubory jsou: 
libraries/joomla/data/option.php 
libraries/joomla/utilities/arrayhelper.php ... zde se zdá být problém s PHP injection 

Tudíž od té doby s ním řeším tento problém a opravdu se nejednalo jenom o chybu v kódu. Až dořeším dám sem výsledek.

[Ipanema]

Tato detekcia by nemala zavisiet od verzie programu ESET, skript deteguje aj v9. Ide o to, ze do stranky sa injektuje len za urcitych podmienok. Idealne by bolo mat pristup k takto napadnutemu serveru, nakolko tam bude pravdepodobne aj iny malware zodpovedny za toto injektovanie.

Pane Marcosi, i Vaše kolegyně z ESETu mi potvrdila písemně mailem, že na jejím PC s NOD32 verze 9 k žádné blokaci nedocházelo. Nezpochybňuji kvality Vašeho nástroje na odstranění virů, ale pokud mi Škoda Octavie RS jede 280km/hod. a Škoda Fabie 210km/hod. a obojí to je auto, tak je něco jinak v útrobách auta. Stejně tak rozdílné hlášení mezi použitou verzí Vašeho programu ve verzí 8 a ve verzi 9. Zde také vidím rozdíl v chování jako u přirovnaných aut.

Stránka je/byla napadená, o to se nepřu, přes kolegyni jsem Vám posílal onen soubor s kódem, zda z něho ve virovém centru vyčtete pro další uživatele nějakou nekalost a ošetříte to ve virové databázi. Budu doufat, že se k Vám soubor dostal.


----
mskarka: díky za podněty i reakce. Připadne mi, že jsi vážně profík a rozumíš tomu.

[Marcos]

Pane Marcosi, i Vaše kolegyně z ESETu mi potvrdila písemně mailem, že na jejím PC s NOD32 verze 9 k žádné blokaci nedocházelo. Nezpochybňuji kvality Vašeho nástroje na odstranění virů, ale pokud mi Škoda Octavie RS jede 280km/hod. a Škoda Fabie 210km/hod. a obojí to je auto, tak je něco jinak v útrobách auta. Stejně tak rozdílné hlášení mezi použitou verzí Vašeho programu ve verzí 8 a ve verzi 9. Zde také vidím rozdíl v chování jako u přirovnaných aut.

V priebehu dna poslem dokaz detekcie v9 a v8 z rovnakej stranky Injektovanie ovplyvnuje viacero faktorov, preto je mozne, ze v case testovania s v9 sa skodlivy kod neinjectoval a nebolo tam co detegovat. Staci pocas testu zachytit http komunikaciu do pcap logu napr. cez Wireshark a uz z neho bude zrejme, ci tam je spominany skript a teda ci mal ESET vobec dovod (ne)reagovat na to.

V8:

js_kryptik_ayr_v8.png (213.34 KiB) Zobrazeno 1525 x

[Marcos]

V9:

js_kryptik_ayr_v9.png (208.84 KiB) Zobrazeno 1527 x

[Ipanema]

Dobře a děkuji za screeny. Myslím, že to je jasné. Na koho se můžu prosím obrátit, aby mi jeden konkrétní web prověřil zmíněným způsobem při svých zkušenostech? Jistě to půjde i na dálku. Vezměme např. ode mě druhý či třetí vypsanou url adresu v 1. postu.
Udělá to někdo pro mě, prosím?

[Ipanema]

Ahoj mskarka...
Jak dopadlo bádání? Nějaké novinky? Já dvě mám. Negativní...
Kdyby jsi měl čas, chuť a náladu na jednu věc... Vím, že jsi zkušený, takže bych rád využil tvých služeb. Nebo aspoň domluvu.
Napiš mi mail nebo telefon na ipanema@ipanema.cz
Díky.