Virus do tipo Cavalo de Troia no site do fórum DVD Mania

[ruben]

Sim e agora aparece esse pop up, nunca tinha-me aparecido antes...

[elfaria]

Por aqui tudo bem; nem sinais de vírus nem vestígios de trojan: Comprem um Mac

[Rui Santos]

Ruben, o popup é exatamente igual ao que o anjo postou?

[ruben]

Por acaso não reparei se dizia o mesmo, mas quando aparecer outra vez coloco print aqui.

Apareceu com a página deformada.

[JoséMiguel]

Estes popups não são popups.

1) A 1ª defesa do Avast falhou (não detecta o vírus tipo A, hospedado e executado dentro do DVD Mania, que dá ordem para executar o Vírus tipo B, localizado em site externo X.

2) A 2ª defesa do Avast falhou também pois não bloqueia o url malicioso do site n (url sempre diferente, que muda todos os dias.)

3) Este popup, que não é popup (que os tenho desligado no Firefox) parece ser uma mensagem do javascript a pedir confirmação para executar o vírus final. O utilizador dará ordem para infectar o seu próprio PC, caso esteja distraído. Eu aqui não tenho a certeza se é mesmo uma mensagem oficial do javascript a pedir confirmação, ou se já será uma aplicação não autorizada e os nossos PC's já estarão comprometidos.

Desactivar temporariamente o fórum não tem interesse. O que tem interesse é usar este tópico para encontrar uma solução. Rui Santos, já experimenteste ver se não existem ficheiros .js lá no ftp? Da outra vez existiam aqueles 404.js, que o Avast não detectava (o Avast só detectava os sites maliciosos, que esses 404.js mandavam executar).

Se tiver lá algum ficheiro terminado em .js coloca aqui os nomes deles para a gente dar uma olhadela.

PS: Esta situação ainda não foi motivo de pânico para mim, porque 99,9% dos vírus requerem autorização pelo próprio utilizador, antes de serem executados, como exemplo o tal "Popup" aqui mostrado anteriormente.

[ruben]

Sim eu sei José, também tenho essa tralha toda bloqueada, só pode ser vírus, não é normal pedir aquilo e principalmente neste fórum.

Ainda não me apareceu o pop... só o apanhei 2x, na 2ª avisei aqui.

[Anjo]

3) Este popup, que não é popup (que os tenho desligado no Firefox) parece ser uma mensagem do javascript a pedir confirmação para executar o vírus final. O utilizador dará ordem para infectar o seu próprio PC, caso esteja distraído. Eu aqui não tenho a certeza se é mesmo uma mensagem oficial do javascript a pedir confirmação, ou se já será uma aplicação não autorizada e os nossos PC's já estarão comprometidos.

Sim, não é uma tradicional janela pop up. Também as tenho bloqueadas no Firefox. Usei a expressão para se perceber. A imagem que postei é um exemplo parecido que fui buscar à net ao calhas. Se me aparecer novamente também tiro um print screen.

A minha opinião é igualmente que se trata de javascript a pedir autorização para executar, como dizes. Porém, o meu computador está limpinho limpinho . Tenho sempre tudo actualizado e em ordem. Just in case, depois desta história, fiz um full scan com antivirus, malwarebytes e hitmanpro: nenhum bicho detectado.

[Rui Santos]

Só para vos avisar que tenho acompanhado de muito perto o tópico e lido tudo com atenção.
Este FdS volto ao ataque e respondo a algumas das vossas perguntas.

Obrigada a todos!

[ruben]

E pronto voltou a aparecer o pop, aqui tá o print:

[Rui Santos]

Fiz algumas alterações / limpezas hoje.

Verifiquem por favor se têm algum alarme, incluindo o entrar com as fontes deformadas.

[Pedro Pereira de Carvalho]

Mais um ataque
Exploit Invisible IFrame Injection (type 1707)

(in http://blog.unmaskparasites.com/2009/01 ... injection/ )
Detection
Temporarily disable JavaScript in your browser (if you don’t want to get infected) and open your site. In the browser’s menu choose “view source” and search for the following code:

<iframe src='http://url/' width='1' height='1' style='visibility: hidden;'></iframe>

It is usually located right after the <body> tag or after the closing </html> tag.

If found, this hidden IFrame is followed by a long obfuscated script that does all the bad things. This script starts with a code that looks like this:

<script>function c102916999516l4956a7e7c979e(l4956a7e7c9b86){...

The actual content of this script vary from site to site but it always starts with a function with a long name containing random chars and digits.

The easier and safer way to detect this exploit is to check suspected web pages with Unmask Parasites http://www.unmaskparasites.com/

outras soluções em http://eisabainyo.net/weblog/2009/04/06 ... on-attack/

[Rui Santos]

Hoje domingo ao final do dia reabro o Forum e termino novamente a limpeza do mesmo.
Até lá vou escrevendo no FB no nosso grupo.

[JoséMiguel]

Venho apenas agradecer ao Rui Santos o trabalho que tem tido, a limpar o vírus do fórum.

Estive uma semana sem vir aqui, porque apanhei um valente susto e entrei mesmo em pânico, na semana passada. Eu tenho o Windows 7 e Firefox, muito vulnerável ao vírus em questão, tanto que o Avast cortou e bloqueou mesmo o acesso ao DVD Mania.

Hoje entrei primeiro com o navegador Google Chrome, e depois com o Firefox, e o site pareceu-me bem à primeira vista. (O Avast não deu alarme e não bloqueou o url do DVD Mania).