www.MegaLab.it

da **gianpietro** » lun ago 13, 2012 5:29 pm

Salve ragazzi eseguendo un collegamento al sito di OCZ, ESET NOD32 5.2.9.12 rileva la presenza del seguente Trojan:

JS / Kryptik.TZ trojan horse

da **The Doctor** » lun ago 13, 2012 5:36 pm

Puoi postare il link incriminato? A me non rileva nulla qui http://www.ocztechnology.com/ [uhm]

da **gianpietro** » lun ago 13, 2012 5:42 pm

Ciao The Doctor

Questo è il link:

08/13/2012 17:56:46 http://www.ocztechnology.com/js/functions.js 20423 JS / Kryptik.TZ trojan horse

da **The Doctor** » lun ago 13, 2012 6:06 pm

Cliccando sul link che hai postato mi si apre il listato javascript. Forse è meglio se mi spieghi come arrivarci [;)]

da **gianpietro** » mar ago 14, 2012 7:42 am

Ciao The Doctor

Ho inserito nel campo di ricerca di Google il termine ocz, e cliccato sul link Solid State Drives, ma oggi funziona correttamente.

Se invece clicco sul link che ho postato interviene Opera vedi qui:

opera:site-warning

Avviso: Sito contenente malware

Questa pagina potrebbe contenere software pericoloso. Visitarla può comportare dei rischi.

Opera Software sconsiglia vivamente di visitare questa pagina.
Torna indietro
Perché questa pagina è stata bloccata?
Ignora questo avviso

Verificando in NOD32 è presente un altro link:

13/08/2012 18:20:09 http://www.ocztechnology.com/js.common.js 13864 JS/Kryptik.TZ trojan horse

Ora viene visualizzata una pagina non trovata.

Sinceramente non riesco a capirci più niente, è possibile che si sia trattato di un falso positivo?

da **The Doctor** » mar ago 14, 2012 7:47 am

gianpietro ha scritto:Sinceramente non riesco a capirci più niente, è possibile che si sia trattato di un falso positivo?

Non ci metto la mano sul fuoco, ma direi che può trattarsi di un falso positivo [;)]

da **hashcat** » mar ago 14, 2012 5:37 pm

I file JavaScript segnalati dall'antivirus sono puliti (adesso), probabilmente, al momento dell'avviso da parte dell'antivirus, erano effettivamente infetti: la dimensione dei files ospitati sul sito in questo momento, differisce dalla lunghezza riportata dagli avvisi di NOD32:

Codice: Seleziona tutto: $ date -R $ Tue, 14 Aug 2012 18:19:38 +0002 $ wget http://www.ocz2wtechnology.com/js/functions.js Connecting to www.ocztechnology.com (174.121.28.210:80) functions.js 0% 0 --:--:-- functions.js 100% 10372 00:00:00 $ wget http://www.ocztechnology.com/js/common.js Connecting to www.ocztechnology.com (174.121.28.210:80) common.js 0% 0 --:--:-- common.js 100% 3811 --:--:--

function.js: 20423 bytes (NOD32) contro i 10372 attuali.

Commons.js: 13864 bytes (NOD32) contro i 3811 attuali.

D'altro canto può trattarsi di un Falso Positivo (la signature JS/Kryptik.TZ é stata aggiunta ieri (aggiornamento 7381)) o semplicemente precedente non veniva rilevata la minaccia proprio perché non presente nel database.

Io credo che i due file fossero effettivamente infetti e che dopo essersene accorti i responsabili del sito abbiano ripristinato le copie pulite degli stessi.

[;)]

da **The Doctor** » mer ago 15, 2012 7:32 am

Grazie della spiegazione hashcat, puntuale e competente come sempre [^]

da **gianpietro** » mer ago 15, 2012 8:34 am

Grazie hashcat e The Doctor per la disponibilità e la competenza e a tutti i ragazzi di MegaLab.

www.MegaLab.it

NOD32 rileva un Trojan nel sito di OCZ

NOD32 rileva un Trojan nel sito di OCZ

Re: NOD32 rileva un Trojan nel sito di OCZ

Re: NOD32 rileva un Trojan nel sito di OCZ

Re: NOD32 rileva un Trojan nel sito di OCZ

Re: NOD32 rileva un Trojan nel sito di OCZ

Re: NOD32 rileva un Trojan nel sito di OCZ

Re: NOD32 rileva un Trojan nel sito di OCZ

Re: NOD32 rileva un Trojan nel sito di OCZ

Re: NOD32 rileva un Trojan nel sito di OCZ

Chi c’è in linea