VIRY.CZ

Dobry den,
detekcia je spravna, jedna sa o skodlivy obfuskovany java skript, ktory vyzera zhruba nasledovne:

V tom případě je verze 8 antiviru několikanásobně lepší než verze 9
A ještě by jsme se měli vrátit zpět k MSIE a né jen z něho stáhnout jiný prohlížeč

Tato detekcia by nemala zavisiet od verzie programu ESET, skript deteguje aj v9. Ide o to, ze do stranky sa injektuje len za urcitych podmienok. Idealne by bolo mat pristup k takto napadnutemu serveru, nakolko tam bude pravdepodobne aj iny malware zodpovedny za toto injektovanie.

Také se vracím k problému se svým webem.
Zde uvedený script jsem sice na svém webu nikde nenalezl (používám agent Ransack a zkoušel jsem i jeho drobné části), nicméněse mi včera v noci ozval správce webhostingu: Tudíž od té doby s ním řeším tento problém a opravdu se nejednalo jenom o chybu v kódu. Až dořeším dám sem výsledek.

Marcos píše:Tato detekcia by nemala zavisiet od verzie programu ESET, skript deteguje aj v9. Ide o to, ze do stranky sa injektuje len za urcitych podmienok. Idealne by bolo mat pristup k takto napadnutemu serveru, nakolko tam bude pravdepodobne aj iny malware zodpovedny za toto injektovanie.

Pane Marcosi, i Vaše kolegyně z ESETu mi potvrdila písemně mailem, že na jejím PC s NOD32 verze 9 k žádné blokaci nedocházelo. Nezpochybňuji kvality Vašeho nástroje na odstranění virů, ale pokud mi Škoda Octavie RS jede 280km/hod. a Škoda Fabie 210km/hod. a obojí to je auto, tak je něco jinak v útrobách auta. Stejně tak rozdílné hlášení mezi použitou verzí Vašeho programu ve verzí 8 a ve verzi 9. Zde také vidím rozdíl v chování jako u přirovnaných aut.

Stránka je/byla napadená, o to se nepřu, přes kolegyni jsem Vám posílal onen soubor s kódem, zda z něho ve virovém centru vyčtete pro další uživatele nějakou nekalost a ošetříte to ve virové databázi. Budu doufat, že se k Vám soubor dostal.


----
mskarka: díky za podněty i reakce. Připadne mi, že jsi vážně profík a rozumíš tomu.

Ipanema píše: Pane Marcosi, i Vaše kolegyně z ESETu mi potvrdila písemně mailem, že na jejím PC s NOD32 verze 9 k žádné blokaci nedocházelo. Nezpochybňuji kvality Vašeho nástroje na odstranění virů, ale pokud mi Škoda Octavie RS jede 280km/hod. a Škoda Fabie 210km/hod. a obojí to je auto, tak je něco jinak v útrobách auta. Stejně tak rozdílné hlášení mezi použitou verzí Vašeho programu ve verzí 8 a ve verzi 9. Zde také vidím rozdíl v chování jako u přirovnaných aut.

V priebehu dna poslem dokaz detekcie v9 a v8 z rovnakej stranky Injektovanie ovplyvnuje viacero faktorov, preto je mozne, ze v case testovania s v9 sa skodlivy kod neinjectoval a nebolo tam co detegovat. Staci pocas testu zachytit http komunikaciu do pcap logu napr. cez Wireshark a uz z neho bude zrejme, ci tam je spominany skript a teda ci mal ESET vobec dovod (ne)reagovat na to.

V8:

V9:

Dobře a děkuji za screeny. Myslím, že to je jasné. Na koho se můžu prosím obrátit, aby mi jeden konkrétní web prověřil zmíněným způsobem při svých zkušenostech? Jistě to půjde i na dálku. Vezměme např. ode mě druhý či třetí vypsanou url adresu v 1. postu.
Udělá to někdo pro mě, prosím?

Ahoj mskarka...
Jak dopadlo bádání? Nějaké novinky? Já dvě mám. Negativní...
Kdyby jsi měl čas, chuť a náladu na jednu věc... Vím, že jsi zkušený, takže bych rád využil tvých služeb. Nebo aspoň domluvu.
Napiš mi mail nebo telefon na ipanema@ipanema.cz
Díky.