verzoek om info over virusmelding Maroc.NL + auto focus op sommige banners
  • + Plaats Nieuw Onderwerp
    Pagina 1/3 12 ... LaatsteLaatste
    Resultaten 1 tot 10 van de 25

    Onderwerp: verzoek om info over virusmelding Maroc.NL + auto focus op sommige banners

    1. #1
      vidi vici veni MO_NL's Avatar
      Ingeschreven
      Jun 2001
      Locatie
      Amsterdam
      Berichten
      2.641
      Post Thanks / Like
      Reputatie Macht
      10

      Standaard verzoek om info over virusmelding Maroc.NL + auto focus op sommige banners

      Dames en heren,

      [UPDATE]
      De problemen worden veroorzaakt door een verouderde versie van ons bannerbeheersysteem. In de oude versie zit een exploit waardoor het mogelijk is om via de banners pc's van bezoekers te infecteren.

      Aangezien we alleen banners van/via Google hebben getoond is de kans zeer klein dat er zich daadwerkelijk infecties hebben voorgedaan.

      De verouderde bannerbeheer-software is inmiddels verwijderd.

      De volgende stap is een total systemcheck (just te be sure) en een verzoek aan stopbadware.org om maroc.nl te checken en daarna van de lijst te halen.

      [/UPDATE]


      de laatste dagen lees ik berichten over trojans op Maroc.NL en berichten over google ads in de footer die automatisch de focus krijgen.

      Wat de trojans en virussen betreft: die krijg ik helaas niet gereproduceerd.

      Wie heeft er meer info voor ons?

      Met name de volgende info:

      = wat is de exacte melding?
      = welk anti-virus programma gebruik je?
      = welke browser gebruik je?
      = op welke pagina(s) doet deze melding zich voor?

      Wat de auto focus op Google banners betreft:

      Dit is niet een bewuste instelling van Maroc.NL uit financiele overwegingen. Deze situatie doet zich voor bij een (of meerdere) advertentie(s). Ik denk dat dit het gevolg is van de bannercode.

      Wij zullen uitzoeken welke advertenties dit veroorzaken en of wij die uit kunnen sluiten.

      Zo niet, dan nemen we contact op met Google.

      Meer info volgt.

    2. #2
      ø Hatert's Avatar
      Ingeschreven
      Apr 2010
      Berichten
      10.384
      Post Thanks / Like
      Reputatie Macht
      6223

      Standaard

      Gebruikte browser:

      Internet explorer 8

      Gebruikte Virusscanner:

      Avira Security Suite


      Melding:

      When accessing data from the URL, "http://www.maroc.nl/ads/www/delivery/afr.php?zoneid=1&cb=INSERT_RANDOM_NUMBER_HERE"

      a virus or unwanted program 'HTML/Infected.WebPage.Gen2' [virus] was found.

      Action taken: Blocked file

      Nadere specifisering:




      Dit doet zich bij elke pagina van maroc.nl waar op klik. Ik krijg 3 meldingen per pagina van mijn vriusscanner.

    3. #3
      Very Important Prikker BlackBox's Avatar
      Ingeschreven
      Apr 2010
      Berichten
      3.939
      Post Thanks / Like
      Reputatie Macht
      398870

      Standaard

      Browser IE8

      Bij gebruik van Windows Firewall krijg je de volgende meldingen:

      11-7-2010 18:19:28 HTTP filter file http://194.8.250.216/ml/1.jar Java/TrojanDownloader.Agent.NBJ trojan connection terminated - quarantined °\Sofiani Threat was detected upon access to web by the application: C:\Program Files\Java\jre6\bin\java.exe.

      10-7-2010 17:33:39 HTTP filter file http://194.8.250.216/ml/1.jar Java/TrojanDownloader.Agent.NBJ trojan connection terminated - quarantined °\Sofiani Threat was detected upon access to web by the application: C:\Program Files\Java\jre6\bin\java.exe

      Bij gebruik van Avira virusbescherming wordt aangegeven dat er een aantal webpagina's in de cache is besmet. Deze webpagina's hebben namen die beginnen met afr (bijvoorbeeld afrCAXDGTT.htm)

      Over de flash-animatie, bovenaan iedere webpagina), ligt een wisselend plaatje (random image) met als internetadres: http://www.maroc.nl/ads/www/delivery/afr.php?zoneid=1&cb=INSERT_RANDOM_NUMBER_HERE

      De webpagina http://www.maroc.nl/ads/www/delivery/afr.php veroorzaakt waarschijnlijk een gat (hole) waardoor de server besmet zou kunnen raken of al is besmet met HTML:Iframe-inf door scripts op google.nl (bijvoorbeeld http://www.google.nl/extern_js/f/CgJubBICbmwrMEU4ASwrMFo4AiwrMA44FSwrMBc4BywrMCc4BC wrMDw4AywrMFE4AiwrMAo4bUAdLCswFjgcLCswGTggLCswJTjK iAEsKzAqOAksKzArOA8sKzA1OAQsKzBAOBIsKzBBOAUsKzBOOA UsKzAdOEAsKzAYOAUsKzAmOAssgAIT/KO5oit_LI-c.js

      Het probleem met HTML:Iframe-inf is in september 2009 voor het eerst gesignaleerd. De oorzaak is een script van Google en er wordt doorgelinkt naar Chinese websites.

      Een nadere inspectie van http://www.maroc.nl/ads/www/delivery/afr.php is hier op zijn plaats.

      In geval van besmetting van de server: http://blog.csatpk.com/2010/02/htmli...l-instruction/

    4. #4
      vidi vici veni MO_NL's Avatar
      Ingeschreven
      Jun 2001
      Locatie
      Amsterdam
      Berichten
      2.641
      Post Thanks / Like
      Reputatie Macht
      10

      Standaard Lijkt vooral met Avira te maken te hebben

      Dank voor je snelle reactie.

      Als ik google op het genoemde virus dan krijg ik weinig info, maar de info die ik vind lijkt te wijzen op een bijzonderheid van Avira.

      Zie deze link: http://www.google.nl/support/forum/p...f32a356d&hl=nl

      Kan iemand anders deze melding reproduceren met een andere virusscanner?

      BVD

    5. #5
      ø Hatert's Avatar
      Ingeschreven
      Apr 2010
      Berichten
      10.384
      Post Thanks / Like
      Reputatie Macht
      6223

      Standaard

      Citaat Oorspronkelijk geplaatst door BlackBox Bekijk Berichten
      [B]

      http://www.maroc.nl/ads/www/delivery/afr.php?zoneid=1&cb=INSERT_RANDOM_NUMBER_HERE[/noparse]
      Ik heb die link al in 3 varianten gehad van de in het rood aangegeven cijfer, 1, 4 en 5.

    6. #6
      ø Hatert's Avatar
      Ingeschreven
      Apr 2010
      Berichten
      10.384
      Post Thanks / Like
      Reputatie Macht
      6223

      Standaard

      Citaat Oorspronkelijk geplaatst door MO_NL Bekijk Berichten
      Dank voor je snelle reactie.

      Als ik google op het genoemde virus dan krijg ik weinig info, maar de info die ik vind lijkt te wijzen op een bijzonderheid van Avira.

      Zie deze link: http://www.google.nl/support/forum/p...f32a356d&hl=nl

      Kan iemand anders deze melding reproduceren met een andere virusscanner?

      BVD
      Op wie schrijft die blijft is melding gemaakt van avast scanner en Google chrome.

    7. #7
      ø Hatert's Avatar
      Ingeschreven
      Apr 2010
      Berichten
      10.384
      Post Thanks / Like
      Reputatie Macht
      6223

    8. #8
      ø Hatert's Avatar
      Ingeschreven
      Apr 2010
      Berichten
      10.384
      Post Thanks / Like
      Reputatie Macht
      6223

      Standaard

      extra info van avira

      HTML/Infected.WebPage.Gen

      Description:
      A common attack against the web infrastructure can be the infection of harmless web pages. Some malware changes every HTML file stored on the disc and adds a link (very often an IFrame) to a site hosting malicious code. Other attacks can aim for the web servers and try to insert forwarding to the pages hosted there. The owner of these pages is advised to take them offline. Fix the hole (either on his own PC or on the server), check the pages for infections, clean them and go online again. Infected Web Pages often contain additional Iframe, Object or Script Tags. The Script Tags often contain encrypted Code.

    9. #9
      Very Important Prikker BlackBox's Avatar
      Ingeschreven
      Apr 2010
      Berichten
      3.939
      Post Thanks / Like
      Reputatie Macht
      398870

      Standaard

      Citaat Oorspronkelijk geplaatst door MO_NL Bekijk Berichten
      Kan iemand anders deze melding reproduceren met een andere virusscanner?


      BVD
      Windows Firewall (Windows 7) geeft integraal ook besmette webpagina's aan en verwijst naar JRE van Sun Microsystems.

    10. #10
      Very Important Prikker BlackBox's Avatar
      Ingeschreven
      Apr 2010
      Berichten
      3.939
      Post Thanks / Like
      Reputatie Macht
      398870

      Standaard

      Citaat Oorspronkelijk geplaatst door Hatert Bekijk Berichten
      Ik heb die link al in 3 varianten gehad van de in het rood aangegeven cijfer, 1, 4 en 5.
      Klopt, die staan alle 3 in een frame.

    + Plaats Nieuw Onderwerp

    Bladwijzers

    Bladwijzers

    Forum Rechten

    • Je mag geen nieuwe onderwerpen plaatsen
    • Je mag geen reacties plaatsen
    • Je mag geen bijlagen toevoegen
    • Je mag jouw berichten niet wijzigen
    •