Asus-website geïnfecteerd met exploitcode voor .ani-lek

Kwaadwillende personen hebben zeer waarschijnlijk de website van hardwarefabrikant Asus gehackt om malware te kunnen verspreiden. De site zou een exploit installeren die de problemen met geanimeerde cursors in Windows misbruikt.

Antivirusproducent Kaspersky meldt op zijn site Viruslist.com dat de Asus-site is voorzien van een iframe, waarmee automatisch een exploit geïnstalleerd wordt. Deze exploit maakt misbruik van het lek dat betrekking heeft op geanimeerde cursors en al in SP1 van Windows XP werd opgelost, maar onlangs weer opdook. Microsoft publiceerde voor deze bug afgelopen dinsdag versneld een patch, die dit probleem verhelpt. Aanvankelijk zou een patch voor dit probleem pas aanstaande dinsdag, tijdens de maandelijkse patchronde van Microsoft, worden vrijgegeven.

Het Sans Internet Storm Center meldt echter dat de exploit die op de Asus-site staat geen misbruik maakt van die .ani-bug, maar een standaard tooltje is dat wachtwoorden probeert te stelen. Gezien het feit dat dit ook op het forum van Tweakers.net wordt gemeld, is het waarschijnlijk dat de hackers de gedistribueerde exploit eenvoudig kunnen veranderen. Overigens blijkt uit het rapport van Sans ISC ook dat niet alle servers die de Asus-website hosten zijn gehackt. De exploit zou al sinds 3 april worden verspreid via de Asus-site. Het lijkt er op dat inmiddels het probleem is opgelost, maar dit is niet bevestigd. Volgens Kaspersky illustreert het probleem met de Asus-site dat ook bekende sites niet zondermeer vertrouwd kunnen worden.

Screenshot van waarschuwing, met dank aan theezeefje

Reacties (60)

Verwijderd 7 april 2007 11:16

Asus is ook een flutwebsite. Bijna altijd werkt asus.nl niet, je krijgt een foutmelding over domain forwarding of iets dergelijks. De pagina's zijn nog trager dan Fok

. En vaak heb je nog javascript errors ook

Mentalist @Verwijderd • 7 april 2007 12:56

Klinkt als zo'n avonturenspelshow op TV!

Eerst moet je de heuvel van Domain Forwarding beklimmen en weer afdalen aan de andere kant, maar pas op voor loszittende stenen! Daarna kom je bij het trage moeras waar je de pagina's uit het Geheime Bios Boek uit moet verzamelen die erin verstopt zijn, maar pas op dat je niet vast komt te zitten. Daarna moet je vluchten voor de Geanimeerde Cursor die je pagina's probeert te stelen. Als laatste moet je het Geheime Bios Boek weer tot een geheel maken, maar in de paginanummers zitten Javascript Errors verstopt dus dat is moeilijker dan het lijkt! Team 1 en Team 2, denken jullie dat jullie het aankunnen? Dat de beste moge winnen, go!

Mocht je interesse hebben de Mol, ik ben te huur..

Vlugge Japie @Verwijderd • 7 april 2007 11:22

Inderdaad. Het is een wonder als je uberhaubt op de Asus website kan komen. Hierdoor zal ik nevernooit meer een Asus server kopen

TD-er

7 april 2007 11:23

Iemand enig idee of deze exploit ook door AVG herkend wordt en mocht je deze hebben, is er een patch die deze exploit weer weghaalt?
* TD-er heeft de afgelopen dagen veelvuldig op de Asus site gezeten.

Hero of Time Moderator LNX @TD-er • 7 april 2007 11:40

Mijn AVG gaat niet zeuren bij de site. Ik bezocht hem net voor verschillende landen, global, usa en indonesie en geen van hen geeft een melding. Nu bezoek ik hem wel met Opera, dus grote kans dat die het al tegen houd. Misschien is alleen IE vatbaar voor de exploit? Dat wordt namelijk niet duidelijk gezegt (of ik heb het niet goed gelezen in het oorspronkelijke bericht). Anyway, met Opera voel ik mij veilig, met FF ben je ook veilig en IE is gewoon zo lek als een mandje, al probeert MS er nog wat van te maken.

Iemand eigenlijk een idee of de patch die MS heeft uitgegeven nu wel normaal zijn werk doet en niet de Realtek drivers naar de klote helpt? Ik heb geen zin om zonder geluid te zitten door een stomme update die nergens over gaat en door laksigheid weer op is gekomen. Ik weet ook wel dat er weer een update voor is enzo, maar om nou 2x te herstarten voor een flut update, niet nodig.

Verwijderd @Hero of Time • 7 april 2007 13:01

Ook als je surft met Firefox op windows ben je kwetsbaar voor de ani-cursor vunerability !!!
Je veilig voelen is nog iets anders dan ook veilig zijn.

Verwijderd @Verwijderd • 7 april 2007 13:40

^^ Wezen benne kinderen zonder ouders...

Hero of Time Moderator LNX @Verwijderd • 7 april 2007 13:23

Hoe dan ook, ik heb die update niet geïnstalleerd, AVG zeurt niet bij IE7 en heb niet echt het gevoel aangevallen te zijn. Misschien dat mijn firewall nog wat doet daartegen. Ik kreeg wel een ActiveX melding of ik een of ander Remote service data access wilde toestaan. Waarom zou Asus dat nodig hebben? Lijkt mij dat dat die exploit kan wezen. En ik heb geen Firefox draaien, alleen Opera en IE (IE voor updates only).

Verwijderd @Verwijderd • 11 april 2007 09:07

@ sagher
da zou best kenne benne

Verwijderd 7 april 2007 11:13

Detail:

Kaspersky word steeds genoemd terwijl een alert van NOD32 wordt getoont?

Link?

m0nkey @Verwijderd • 7 april 2007 13:02

Antivirusproducent Kaspersky meldt op zijn site Viruslist.com dat de Asus-site is voorzien van een iframe

iFrame > Apple!!

Darkprince1234 7 april 2007 11:13

Toen ik gisteravond rond een uurtje of 2 a 3 inlogde was deze infectie eral. Ik dacht zelf dat ik gefished was en ging toen naar de USA site van AsusTek maar ook deze had dezelfde melding van NOD32.

Misschien dat ze nu ook gelijk wat gaan doen aan het super trage .com.tw domein van AsusTek.

Edit: Volgens mij weet AsusTek zelf ook nog niet wat er aan de hand is. Ik krijg de melding dat de File htttttp://www.ipqwe.com/app/bmw3.pig (kreupele link voor de onnozele tweakers onder ons) geinfecteerd is met de trojan: Win32/TrojanDownloader.Ani.Gen

Het gaat dus om ALLE domeinen van asusTEk want ik krijg zelfs bij indonesie de trojan melding.

Ze hebben er tijdens mijn schrijven dus nog niets aangedaan.

Atomsk @Darkprince1234 • 7 april 2007 14:13

Moet je die url wel goed "kreupel" maken. Zo kun je er nog steeds direct op klikken. Kaspersky detecteert hem overigens ook correct als Ani.gen

Darkprince1234 @Atomsk • 7 april 2007 14:33

met httttp kom je niet zo ver he

Atomsk @Darkprince1234 • 7 april 2007 21:38

Ehm, klik nu eens gewoon op die link van je. De parser heeft dat httttp van je gewoon genegeerd en van dat www-adres een werkende link gemaakt. Kun je zelfs zien als je de moeite zou nemen te kijken.

Darkprince1234 @Darkprince1234 • 8 april 2007 15:06

Je kunt in mijn bericht niet klikken op die link. Niet in IE6 in ieder geval

Welke browser gebruik je?

Elephtera 7 april 2007 11:28

dat is minder..

heb na 3 april mn pc geinstalleerd. en eerst drivers van asus gedownload, daarna pas mn virusscanner...
die dus geen viri kan vinden, maar mn pc doet wel raar.
*en ik vertrouwde asus nog wel*

denyos @Elephtera • 7 april 2007 12:16

Daarom kan je je drivers ook beter van asustreiber.de halen. Die website is tenminste ook nog fatsoenlijk snel, en de drivers zijn daar stukken makkelijker te vinden.

devil-strike 7 april 2007 11:40

Avg maakt er ook netjes melding van zie screenshot www.devil-strike.net/asus-avg.jpg.

Maar dit kan tog gewoon weg niet, groot bedrijf met zeer slecht berijkbare servers, en nog eens een trojan op de servers ook.

Bonez0r @devil-strike • 8 april 2007 23:15

http://www.devil-strike.net/asus-avg.jpg -> 404
http://www.devil-strike.net/ -> "This account has been suspended. Either the domain has been overused, or the reseller ran out of resources."

Lijkt op een gevalletje van slashdot, t.net variant

SpiceWorm 7 april 2007 12:07

Avast! geeft dat de asus.nl website het virus
CVE-2007-0038 huisvest.

Firefox crasht erop. Het lek is alleen van toepassing op IE, omdat die als enige cursor bestanden uit HTML kan halen.
http://www.kb.cert.org/vuls/id/191609

Updates:
http://www.microsoft.com/...ty/bulletin/ms07-017.mspx

Virus details:
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-0038
Krijgt admin rechten op je systeem, redelijk serieus dus!