verzoek om info over virusmelding Maroc.NL + auto focus op sommige banners

[MO_NL]

Dames en heren,

[UPDATE]
De problemen worden veroorzaakt door een verouderde versie van ons bannerbeheersysteem. In de oude versie zit een exploit waardoor het mogelijk is om via de banners pc's van bezoekers te infecteren.

Aangezien we alleen banners van/via Google hebben getoond is de kans zeer klein dat er zich daadwerkelijk infecties hebben voorgedaan.

De verouderde bannerbeheer-software is inmiddels verwijderd.

De volgende stap is een total systemcheck (just te be sure) en een verzoek aan stopbadware.org om maroc.nl te checken en daarna van de lijst te halen.
[/UPDATE]


de laatste dagen lees ik berichten over trojans op Maroc.NL en berichten over google ads in de footer die automatisch de focus krijgen.

Wat de trojans en virussen betreft: die krijg ik helaas niet gereproduceerd.

Wie heeft er meer info voor ons?

Met name de volgende info:

= wat is de exacte melding?
= welk anti-virus programma gebruik je?
= welke browser gebruik je?
= op welke pagina(s) doet deze melding zich voor?

Wat de auto focus op Google banners betreft:

Dit is niet een bewuste instelling van Maroc.NL uit financiele overwegingen. Deze situatie doet zich voor bij een (of meerdere) advertentie(s). Ik denk dat dit het gevolg is van de bannercode.

Wij zullen uitzoeken welke advertenties dit veroorzaken en of wij die uit kunnen sluiten.

Zo niet, dan nemen we contact op met Google.

Meer info volgt.

[Hatert]

Gebruikte browser:

Internet explorer 8

Gebruikte Virusscanner:

Avira Security Suite


Melding:

When accessing data from the URL, "http://www.maroc.nl/ads/www/delivery/afr.php?zoneid=1&cb=INSERT_RANDOM_NUMBER_HERE"

a virus or unwanted program 'HTML/Infected.WebPage.Gen2' [virus] was found.

Action taken: Blocked file

Nadere specifisering:




Dit doet zich bij elke pagina van maroc.nl waar op klik. Ik krijg 3 meldingen per pagina van mijn vriusscanner.

[BlackBox]

Browser IE8

Bij gebruik van Windows Firewall krijg je de volgende meldingen:

11-7-2010 18:19:28 HTTP filter file http://194.8.250.216/ml/1.jar Java/TrojanDownloader.Agent.NBJ trojan connection terminated - quarantined °\Sofiani Threat was detected upon access to web by the application: C:\Program Files\Java\jre6\bin\java.exe.

10-7-2010 17:33:39 HTTP filter file http://194.8.250.216/ml/1.jar Java/TrojanDownloader.Agent.NBJ trojan connection terminated - quarantined °\Sofiani Threat was detected upon access to web by the application: C:\Program Files\Java\jre6\bin\java.exe

Bij gebruik van Avira virusbescherming wordt aangegeven dat er een aantal webpagina's in de cache is besmet. Deze webpagina's hebben namen die beginnen met afr (bijvoorbeeld afrCAXDGTT.htm)

Over de flash-animatie, bovenaan iedere webpagina), ligt een wisselend plaatje (random image) met als internetadres: http://www.maroc.nl/ads/www/delivery/afr.php?zoneid=1&cb=INSERT_RANDOM_NUMBER_HERE

De webpagina http://www.maroc.nl/ads/www/delivery/afr.php veroorzaakt waarschijnlijk een gat (hole) waardoor de server besmet zou kunnen raken of al is besmet met HTML:Iframe-inf door scripts op google.nl (bijvoorbeeld http://www.google.nl/extern_js/f/CgJubBICbmwrMEU4ASwrMFo4AiwrMA44FSwrMBc4BywrMCc4BC wrMDw4AywrMFE4AiwrMAo4bUAdLCswFjgcLCswGTggLCswJTjK iAEsKzAqOAksKzArOA8sKzA1OAQsKzBAOBIsKzBBOAUsKzBOOA UsKzAdOEAsKzAYOAUsKzAmOAssgAIT/KO5oit_LI-c.js

Het probleem met HTML:Iframe-inf is in september 2009 voor het eerst gesignaleerd. De oorzaak is een script van Google en er wordt doorgelinkt naar Chinese websites.

Een nadere inspectie van http://www.maroc.nl/ads/www/delivery/afr.php is hier op zijn plaats.

In geval van besmetting van de server: http://blog.csatpk.com/2010/02/htmli...l-instruction/

[MO_NL]

Dank voor je snelle reactie.

Als ik google op het genoemde virus dan krijg ik weinig info, maar de info die ik vind lijkt te wijzen op een bijzonderheid van Avira.

Zie deze link: http://www.google.nl/support/forum/p...f32a356d&hl=nl

Kan iemand anders deze melding reproduceren met een andere virusscanner?

BVD

[Hatert]

[B]

http://www.maroc.nl/ads/www/delivery/afr.php?zoneid=1&cb=INSERT_RANDOM_NUMBER_HERE[/noparse]

Ik heb die link al in 3 varianten gehad van de in het rood aangegeven cijfer, 1, 4 en 5.

[Hatert]

Dank voor je snelle reactie.

Als ik google op het genoemde virus dan krijg ik weinig info, maar de info die ik vind lijkt te wijzen op een bijzonderheid van Avira.

Zie deze link: http://www.google.nl/support/forum/p...f32a356d&hl=nl

Kan iemand anders deze melding reproduceren met een andere virusscanner?

BVD

Op wie schrijft die blijft is melding gemaakt van avast scanner en Google chrome.

[Hatert]

Mogelijke oplossing:

http://www.spywareremove.com/removeH...ebPageGen.html

[Hatert]

extra info van avira

HTML/Infected.WebPage.Gen

Description:
A common attack against the web infrastructure can be the infection of harmless web pages. Some malware changes every HTML file stored on the disc and adds a link (very often an IFrame) to a site hosting malicious code. Other attacks can aim for the web servers and try to insert forwarding to the pages hosted there. The owner of these pages is advised to take them offline. Fix the hole (either on his own PC or on the server), check the pages for infections, clean them and go online again. Infected Web Pages often contain additional Iframe, Object or Script Tags. The Script Tags often contain encrypted Code.

[BlackBox]

Kan iemand anders deze melding reproduceren met een andere virusscanner?


BVD

Windows Firewall (Windows 7) geeft integraal ook besmette webpagina's aan en verwijst naar JRE van Sun Microsystems.

[BlackBox]

Ik heb die link al in 3 varianten gehad van de in het rood aangegeven cijfer, 1, 4 en 5.

Klopt, die staan alle 3 in een frame.