Web Attack: Malicious JAR File Download 6

[andreas72]

Hej!

Jag har fått meddlandet i rubriken av Norton Internet Security 2012 när jag besökt vissa hemsidor på nätet. Att döma av inlägg i forumen så har även många fler personer drabbats av varningar från sina antivirusprogram när de har besökt dessa sidor och en del påstår sig även ha blivit smittade.

Nu undrar jag om denna varning möjligen lika gärna kan bero på att datorn redan är infekterad och att viruset aktiveras när man besöker vissa hemsidor, för att t.ex. stjäla lösenord och användarnamn, eller om det faktiskt är hemsidan som är infekterad (kanske via annonser eller annat)?

Ett färskt exempel på hemsida där jag får denna varning är denna:

http://www.bike.se/node/94235

Mvh Andreas

[Cecilia]

Hej, tänkte ge en liten snabb uppdatering om detta. Vår tekniker ringde Lars, vi tittade på detta och hittade först ingenting. Men i dagarna har vi utsatts för ytterligare en attack, precis som flera andra stora svenska sajter, där ett virus spridits via vår annonshanteringssystem. Vi har identifierat säkerhetshålet och nu täppt till det men beklagar självklart de problem som kan ha uppstått. Vill även passa på att tacka för att Lars och Roger rapporterat om detta.

http://www.bike.se/node/94235?page=1

Inlägget skrivet under eftermiddagen idag.

Så det verkar ju vara webbplatsen.

[andreas72]

Tack Cecilia för att du som vanligt har full koll på läget! Missade det du citerar ovan eftersom jag bara googlade runt lite på problemet och råkade då hitta sidan jag länkade till ovan. Uppenbarligen var jag just då för stressad för att observera att det fanns en till sida i tråden :-). Dock verkar det tilltäppta säkerhetshålet inte ha löst problemet så det kanske fortfarande inte är känt vad orsaken är.

[Cecilia]

Tack, men ingen orsak!

Annonsnätverk är alltid lite riskabla, kanske särskilt något mindre som den webbplatsen verkar använda sig av. De stora råkade ut för sådana här problem för flera år sedan så de har ju lärt sig en del.

Redigerad Juni 19, 2012 av Cecilia

[andreas72]

Jag tycker att det är dåligt att Norton inte flaggar att sidan är skadlig om man söker på den i google eller besöker sidan direkt. Om Norton väl har varnat för sidan hos mig och andra användare så borde ju programmet skicka information om detta till Symantec tycker jag. Jag kontaktade chattsupporten om detta men de hade tyvärr ingen koll alls utan rekommenderade bara att jag skulle köra Norton Power Eraser eftersom de trodde att jag hade ett virus på datorn. Personen jag chattade med sa vidare att ifall sajten var infekterad så skulle de ha fått info om detta och därmed ha kontaktat ansvarig person. Verkar ju inte alls stämma att det fungerar på det sättet. Men någon feedback från programmet till Symantec borde det ju i alla fall finnas kan man tycka. Frågan är vem man ska kontakta hos dem för att höra efter varför så inte skett. Chattsupporten verkar i alla fall vara fel forum för sådana diskussioner.

En annan sajt som förresten gav ett liknande felmeddelande, men som nu fixat felet, är ViBilägare:

http://www.vibilagar...varningen-38516

Redigerad Juni 20, 2012 av andreas72

[Cecilia]

Problemet är nog att det faktiskt inte låg någon skadlig kod på vare sig bike.se eller vibilagare.se utan den låg på ads.motorvarlden.se eller någon annan annonsserver. Det gör ju att Norton inte ser kopplingen mellan den skadliga koden och t ex bike.se som ju är det som syns i Googles sökresultat resp. som du surfar till. Det är i alla fall vad jag tror.

[andreas72]

Ja så kanske det är :-). Nåja, det verkar ju som att detta är något som smittat vissa besökare så i detta fall kanske Norton gjort verkligen nytta. Eller så har jag klarat mig lika bra ändå för jag antar att en attack av det här slaget inte automatiskt smittar precis alla besökare. Avgörande torde dock vara att man inte kör en gammal version av Java om jag får gissa lite. Kanske även vilket OS man kör spelar en betydande roll, då jag tycker att det verkar som att XP-användare varit särskilt drabbade av den här typen av intrångsförsök.

[Cecilia]

Ja, om man har en Windows-dator med en gammal Java-version (dvs kända säkerhetshål) och ett antivirusprogram som inte detekterar just den filen så låg man ju direkt illa till.

[ByggareBob]

Problemet är nog att det faktiskt inte låg någon skadlig kod på vare sig bike.se eller vibilagare.se utan den låg på ads.motorvarlden.se eller någon annan annonsserver. Det gör ju att Norton inte ser kopplingen mellan den skadliga koden och t ex bike.se som ju är det som syns i Googles sökresultat resp. som du surfar till. Det är i alla fall vad jag tror.

Ja så kanske det är :-). Nåja, det verkar ju som att detta är något som smittat vissa besökare så i detta fall kanske Norton gjort verkligen nytta. Eller så har jag klarat mig lika bra ändå för jag antar att en attack av det här slaget inte automatiskt smittar precis alla besökare. Avgörande torde dock vara att man inte kör en gammal version av Java om jag får gissa lite. Kanske även vilket OS man kör spelar en betydande roll, då jag tycker att det verkar som att XP-användare varit särskilt drabbade av den här typen av intrångsförsök.

Använder man WOT, Web of Trust, som är ett tilläg till de flesta webläsare, så upptäcks dessa annonsplatser. Även Googlesökningar kan WOT hantera och visa om en webplats är osäker eller ej. Ett program som jag har haft mycket glädje utav.

Redigerad Juni 21, 2012 av ByggareBob

[Cecilia]

I detta fall har WOT inte något emot vare sig ads.motorvarlden.se eller bike.se:

http://www.mywot.com/en/scorecard/ads.motorvarlden.se

http://www.mywot.com/en/scorecard/bike.se

http://www.mywot.com/en/scorecard/vibilagare.se