Evil Javascript mutates to evade detection

**Chill-Out** · 04-08-2007, 21:20

Fonte: Techworld.com
http://www.techworld.com/security/ne...fm?newsid=9703

xcdegasp · 04-08-2007, 21:41

potevi sprecare anche due righe

lancetta · 05-08-2007, 02:55

stanotte non riuscivo a postare.....comunque sotto quello che volevo dire

lancetta · 05-08-2007, 02:56

doppio post

lancetta · 05-08-2007, 02:57

*

lancetta · 05-08-2007, 02:58

triplo post

lancetta · 05-08-2007, 02:58

Vabbè connessione di merda stanotte...vado a letto è meglio

lancetta · 05-08-2007, 12:16

La tecnica dell'iframe di cui si è ampiamente discusso se ho ben capito,solo che fanno notare che sono coinvolte anche vulnerabilità di ADODB, QuickTime, WinZip oltre ad altro software,ed in più una vulnerabilità del controllo activeX (quindi IE tanto per cambiare) di NCTAudio.Sconcertante il fatto che con le tecniche che stanno usando attualmente nessun antivirus è in grado facilmente di rilevarle,poichè le variabili di reindirizzamento e di script sono continue,quindi difficili da catalogare in un database di firme virali.La riflessione è sempre la solita:tenete aggiornato tutto il parco software oltre al sistema operativo e cercate di navigare con browser che non faccia uso di activeX(in pratica evitare IE).Aggiungo la obbligatorietà a questo punto della situazione attuale,di navigare con account limitato.....Ormai non basta andare solo su siti fidati,ma comunque ci vuole testa,evitando di cliccare su tutto quello che capita

Saluti

xcdegasp · 05-08-2007, 15:35

Io sto adottando un nuovo livello difensivo... ho installato linkscan (che scansionando il sito che si sta visualizzando avverte di pericolosità e le blocca) e un'estensione di firefox che mi indica se il sito host è windows o linux

lancetta · 05-08-2007, 16:05

Quote:

Originariamente inviato da xcdegasp

Io sto adottando un nuovo livello difensivo... ho installato linkscan (che scansionando il sito che si sta visualizzando avverte di pericolosità e le blocca) e un'estensione di firefox che mi indica se il sito host è windows o linux

come sta a falsi positivi?

xcdegasp · 05-08-2007, 19:54

Quote:

Originariamente inviato da lancetta

come sta a falsi positivi?

lo installato da soli due giorni il linkscan ho bisogno ancora di tempo per capirne la reale efficacia...
mi segna una cosa strana sul sito www.emulesecurity.net e trova conferma nel antirootkit della sophos che rileva dei file settati come hidden nella cache di firefox (su quel sito sei obbligato ad abilitare i javascript per navigarlo)...

probabilmente enetec è in vacanza e non mi ha risposto

lancetta · 05-08-2007, 23:05

effettivamente è tanto che non vado sul sito di enetec,speriamo non abbia problemi,considerando che come accessi è molto visitato.......

**Chill-Out** · 07-08-2007, 09:35

Quote:

Originariamente inviato da xcdegasp

potevi sprecare anche due righe

giusto ma in questi giorni vado di frettissima, sorry. Sottoscrivo inoltre quanto detto da Lancetta sopra, aggiungendo che è diventa d'obbligo utilizzare il browser all'interno di una sandbox.

@xcdegasp a quale estensione ti riferisci? Grazie.

xcdegasp · 07-08-2007, 11:27

linkscan è un prodotto da installare interamente e poi installa la sua estensione in FF per poter operare prima che l'utente clicki o legga la pagina..
il link del prodotto è questo: http://www.explabs.com/

sto ancora verificando quanto sia attendibile...

**Chill-Out** · 07-08-2007, 20:47

Quote:

Originariamente inviato da xcdegasp

linkscan è un prodotto da installare interamente e poi installa la sua estensione in FF per poter operare prima che l'utente clicki o legga la pagina..
il link del prodotto è questo: http://www.explabs.com/

sto ancora verificando quanto sia attendibile...

Grazie, non avevo capito che ti riferivi a LinkScanner, lo stò testando anch'io spesso capita che i js offuscati non li vede.
Ciao

04-08-2007, 21:20	#1
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Evil Javascript mutates to evade detection Fonte: Techworld.com http://www.techworld.com/security/ne...fm?newsid=9703 __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

04-08-2007, 21:41	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	potevi sprecare anche due righe __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

05-08-2007, 02:55	#3
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	stanotte non riuscivo a postare.....comunque sotto quello che volevo dire __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta... Ultima modifica di lancetta : 05-08-2007 alle 12:17.

05-08-2007, 02:56	#4
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	doppio post __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

05-08-2007, 02:57	#5
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	* __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

05-08-2007, 02:58	#6
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	triplo post __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

05-08-2007, 12:16	#8
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	La tecnica dell'iframe di cui si è ampiamente discusso se ho ben capito,solo che fanno notare che sono coinvolte anche vulnerabilità di ADODB, QuickTime, WinZip oltre ad altro software,ed in più una vulnerabilità del controllo activeX (quindi IE tanto per cambiare) di NCTAudio.Sconcertante il fatto che con le tecniche che stanno usando attualmente nessun antivirus è in grado facilmente di rilevarle,poichè le variabili di reindirizzamento e di script sono continue,quindi difficili da catalogare in un database di firme virali.La riflessione è sempre la solita:tenete aggiornato tutto il parco software oltre al sistema operativo e cercate di navigare con browser che non faccia uso di activeX(in pratica evitare IE).Aggiungo la obbligatorietà a questo punto della situazione attuale,di navigare con account limitato.....Ormai non basta andare solo su siti fidati,ma comunque ci vuole testa,evitando di cliccare su tutto quello che capita Saluti __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

05-08-2007, 15:35	#9
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	Io sto adottando un nuovo livello difensivo... ho installato linkscan (che scansionando il sito che si sta visualizzando avverte di pericolosità e le blocca) e un'estensione di firefox che mi indica se il sito host è windows o linux __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

05-08-2007, 23:05	#12
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	effettivamente è tanto che non vado sul sito di enetec,speriamo non abbia problemi,considerando che come accessi è molto visitato....... __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

07-08-2007, 11:27	#14
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	linkscan è un prodotto da installare interamente e poi installa la sua estensione in FF per poter operare prima che l'utente clicki o legga la pagina.. il link del prodotto è questo: http://www.explabs.com/ sto ancora verificando quanto sia attendibile... __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

Strumenti
Mostra una versione stampabile Invia questa pagina per email