Scriptvirus?

Det ser ut at startsiden til terrengsykkel.no innholder en html-scriptvirus (crypted.gen). Kan dette stemme, eller er det virusscannern (Avira Antivir) min som tuller?

Laplace

her er det virus ute og går ja....

og ja til dere som driver med det kan faen meg ta og suge pikk til dere liker det........ser ut som utfor har fått en smell også.....så det er nok ikke bare deg her nei hehehe..faen jeg lurte ja...

Det er en av banner annonsene på både terrengsykkel og utfor som er infisert.

Håper alle har bra antivirus...
Virker som det er hovedbanneren på forsiden...

Virus er selvsagt irriterende, men innlegget ditt er direkte pinlig lesing...

hehehehehe bombaclaat.....

Alder eller mangel på kunnskap, hva er unnskyldningen?

Det er ikke nødt til å være et virus selv om scanneren (i dette tilfellet kun Avira tydeligvis, hverken Norman eller Avast reagerer hos meg) sier at det kan være noe muffens på ferde. Tipper at i tilfellet med TS og Utfor så er det snakk om en feil i skriptinga som legger ut banneret, enkelte (svakere?) antivirusprogrammer trigger på dette og kaller det virus.

Da "tipper" du feil.
Javascriptet gjør en redirect mot en site som inneholder et IE exploit. Dette exploitet forsøker å utføre en handling ved bruk av ActiveX, som igjen henter ned en pdf og eksekverer kjørbar kode inne i denne pdf filen (.exe, flash og annen kjørbar kode kan gjemmes inne i pdf filer, for å skjule at det er kjørbar kode).
Et helvetes scriptingfeil å så tilfelle

Det er heller de "bedre" antivirusløsningene som detekterer dette. For mange antivirusløsninger (som jeg har snakket om i andre tråder) oppdager ikke malware som forsøker å infisere maskinen din via exploits. Dette fordi mange exploits ikke kan detekteres v.h.a. signaturer, men man må ha en sikkerhetsløsning som inneholder noe IDS eller DEP funskjonalitet. Når angripere benytter javascript er mulighetene for obfuskering så store at det å benytte signaturer er helt latterlig...

Min Avast advarte meg mot å gå inn på siden, mens McAfee renset (en annen maskin)m så det er ikke bare Avira som tar denne.

Kanskje på tide å konvertere til Firefox eller Opera da..

Med AdBlock Plus, så slipper man reklamen helt.

De fleste browsere støtter det å skru av javascript totalt.
...noe som er en god idè for tiden, siden utrolig mye malware nå kommer via sider man i utgangspunktet stoler på...og da ikke bare via bannere og reklame.

Kom en liten notis til meg om at noe var fjernet. Hehe, ikke bra det der. Burde fikses opp i fort!

Utfor.com vil tidligst være oppe i morgen. Ikke vet jeg hva som har skjedd, men ser ut som Trygve vet.

Utfor.com sin server ligger hos Fri Flyt, så jeg har ikke mulighet for å ordne dette nå

Edit : Gikk inn med en annen url enn utfor.com, da kom siden opp. Er visst bare hovedsiden som er i ustand. Prøv http://utfor.com/smf/index.php?action=unread

Dæng.Derr kom noiaen igjen.Det viruset dere prater om her,jeg har kjørt fullt systemscan med Norton.Ittno gæli eller melding om virusting.
Jeg er helt dust med datan,så jeg må spørre;
Må man klikke på et sånn virusinfisert banner for å få driden på hard disken? Altså i vanvare gjøre noe aktivt selv?

Dette viruset kjøres i det du går inn på siden.
Du trenger ikke trykke på banneren.

Men det er en del ting som må treffe for at du skal få viruset, utifra det jeg har kommet frem til:

- Du må benytte Internet Explorer når du besøker siden
- Du må godkjenne at ActiveX komponenten som prøver å kjøre kjøres
- Du må ha Microsoft Works på maskinen (jepp, den prøver å konvertere et eller annet i pdf filen over til Works via ActiveX)
- Du må ha en upatchet Windows XP eller Windows Vista med upatchet Internet Explorer, Works etc.

Er ikke sikker på hvor gammel exploiten som kjøres er, men kjører man Windows Update så er man nok relativt trygg for denne. Kom kjempeoppdatering sist tirsdag forresten...

Viruset lastes altså ikke inn på maskinen hvis du ikke benytter IE eller godkjenner ActiveX bekreftelsen.

Eirik: jeg vet ikke hva som har skjedd med utfor.com.

Trygve er min wing man på data. Kjører ie, men den eneste worksen jeg har er 5point5' en min.
Ikke har jeg godkjent noen active x' er i det siste heller.
Takketakk!

Då skulle eg vere trygg så det monner.

Uansett så tipper eg virusting skyr maskina eg har, då den går på kull og vatn.

Normannen min maser med virusmeldinger nå når jeg surfer på forumet. Er det scriptvirus igjen?

Mange former for malware forsøker å infisere maskiner gjennom lovlige hjemmesider, ved å legge inn redirects til andre sider (der den ondsinnede koden ligger) i bannere, forumposter eller javascripts som har blitt plassert på siden via sårbarheter i webapplikasjon eller webserveren.

Jeg tipper norman her har forsøkt å lage en signatur som detekterer slik redirects mer generisk, og ikke nødvendigvis hver gang det blir lastet inn malware.

Hvis du bruker firefox, så husk at firefox har en mekanisme for å hente nye sider den antar du skal surfe til. Hvis du skriver about:config i adresselinja i firefox, så ser du denne som 'network.prefetch-next'. Denne bør uansett skrues av, fordi den f.eks. besøker hjemmesider som kommer opp som linker når du gjør googlesøk. Så det vil da se ut som du har besøkt sider du aldri har hatt intensjoner om å besøke.

!!!

Den var ny for meg.

Årsaken til virusvarslet ligger nok i noe dritt jeg har fått ned på min maskin. Sitter nå på en annen maskin og surfer med samme versjon av Norman uten problemer.

Må nok ta en nøyere titt på egen maskin.

Samme symptomer her også.. Tror det starta ca. 13.00 i dag.

Hmmm. Så vi er flere? Det starta omtrent da for min del også.

Samme her.

Kjører Norman og så det første gang rundt 1300 jeg og.

Virker å slå ut ved sidebytte/åpning av ny fane.

Gå til http://getfirefox.com http://apple.com/safari eller http://google.com/chrome, last ned og nyt av en bedre og sikrere browser opplevelse.

Beklager å si det så rett ut, men det er faktisk HELT FEIL.
Selv de vanlige mediakanalene som vg.no, db.no og de mer fagrettede (men lite tekniske) som digi.no og itavisen.no har nå skjønt dette.

Sårbarhetene som kommer for tiden, og de angrepene man ser der ute som blir utført, angriper veldig sjelden browseren. De utfører gjerne flere angrep på en gang, for å identifisere upatchede komponenter på maskinen, men hvilken browser man besøker siden som angriper med har lite å si i denne sammenhengen. Angrepene er nesten alltid rettet mot plugins til browsere, fordi dette gir et angrep en større angrepsflate. Så når først man får besøk av en maskin til hjemmesiden som angriper, blir nesten alltid de mest generiske angrepene utført først.

De siste årene har derfor de fleste angrep vært rettet mot Adobe plugins som reader (pdf) og flash. En stor mengde har også vært mot quicktime, mens noen få (men sofistikerte) har vært mot Sun sine Javakomponenter. De fleste kommer i forskjellige javascript former, som alle blir kjørt i browseren uavhengig av browsertype, hvis du har enablet javascript. Men man er ikke sikker bare fordi man disabler javascript, for javascript i pdf filer eller javascript i flash blir fortsatt eksekvert av plugin'n som supporterer disse uavhengig av om browseren ikke kjører javascript selv.


Den siste tiden har man også sett flere angrep mot andre komponenter på maskinene, som f.eks. MS Office, Adobe Photoshop og OS komponenter generelt. Men alle disse er også browseruavhengig.

Ironisk nok kom det, dagen før posten over, en sårbarhet mot Adobe produkter som er akkurat en slik generisk sårbarhet.

Denne ene sårbarheten, hvis misbrukt, vil kunne utnyttes likt mot Windows, OSX, Linuxdistroer og Solaris. Ikke nok med det, men den treffer både Reader, Flash og Acrobat på disse platformene....

En sårbarhet, som treffer alle...

http://www.adobe.com/support/security/advisories/apsa10-01.html

For meg slo det ut da jeg prøvde å svare på poster. Kanskje et signal om at jeg skal "holde kjeft" på forumet?

Det så ut som om problemet ga seg, for på samme maskin sluttet disse varslene dagen etter. Om jeg skal føle meg trygg da, eller ikke, tør jeg ikke helt tenke på...

Andre som har merket at virusvarslene sluttet?

Jeg tipper at dette igjen er relatert til en signatur hos Norman, som tolker noe på denne siden feil eller er for generisk. Og at når det kom ny signaturoppdatering, så ble dette problemet fikset.

HTML/Redirect.P er ikke et spesifikt virus/trojaner i følge Norman sin hjemmeside, noe som underbygger enda mer at dette var mer et forsøk på å lage en generisk signatur som detekterer pre-infeksjonshendelser, enn at det faktisk var ondsinnet kode på terrengsykkel.no

Da tar jeg det rolig. Norman har også reagert på (nye) minnepenner. Jeg tar det heller som positivt at kontrollen tar for mye enn for lite.

Takker for info, Trygve!