Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 60 reacties
Bron: Security.nl, submitter: Joni

Kwaadwillende personen hebben zeer waarschijnlijk de website van hardwarefabrikant Asus gehackt om malware te kunnen verspreiden. De site zou een exploit installeren die de problemen met geanimeerde cursors in Windows misbruikt.

Antivirusproducent Kaspersky meldt op zijn site Viruslist.com dat de Asus-site is voorzien van een iframe, waarmee automatisch een exploit ge´nstalleerd wordt. Deze exploit maakt misbruik van het lek dat betrekking heeft op geanimeerde cursors en al in SP1 van Windows XP werd opgelost, maar onlangs weer opdook. Microsoft publiceerde voor deze bug afgelopen dinsdag versneld een patch, die dit probleem verhelpt. Aanvankelijk zou een patch voor dit probleem pas aanstaande dinsdag, tijdens de maandelijkse patchronde van Microsoft, worden vrijgegeven.

Het Sans Internet Storm Center meldt echter dat de exploit die op de Asus-site staat geen misbruik maakt van die .ani-bug, maar een standaard tooltje is dat wachtwoorden probeert te stelen. Gezien het feit dat dit ook op het forum van Tweakers.net wordt gemeld, is het waarschijnlijk dat de hackers de gedistribueerde exploit eenvoudig kunnen veranderen. Overigens blijkt uit het rapport van Sans ISC ook dat niet alle servers die de Asus-website hosten zijn gehackt. De exploit zou al sinds 3 april worden verspreid via de Asus-site. Het lijkt er op dat inmiddels het probleem is opgelost, maar dit is niet bevestigd. Volgens Kaspersky illustreert het probleem met de Asus-site dat ook bekende sites niet zondermeer vertrouwd kunnen worden.

Asus-exploit
Screenshot van waarschuwing, met dank aan theezeefje
Moderatie-faq Wijzig weergave

Reacties (60)

Asus is ook een flutwebsite. Bijna altijd werkt asus.nl niet, je krijgt een foutmelding over domain forwarding of iets dergelijks. De pagina's zijn nog trager dan Fok :X. En vaak heb je nog javascript errors ook
Klinkt als zo'n avonturenspelshow op TV!

Eerst moet je de heuvel van Domain Forwarding beklimmen en weer afdalen aan de andere kant, maar pas op voor loszittende stenen! Daarna kom je bij het trage moeras waar je de pagina's uit het Geheime Bios Boek uit moet verzamelen die erin verstopt zijn, maar pas op dat je niet vast komt te zitten. Daarna moet je vluchten voor de Geanimeerde Cursor die je pagina's probeert te stelen. Als laatste moet je het Geheime Bios Boek weer tot een geheel maken, maar in de paginanummers zitten Javascript Errors verstopt dus dat is moeilijker dan het lijkt! Team 1 en Team 2, denken jullie dat jullie het aankunnen? Dat de beste moge winnen, go!

Mocht je interesse hebben de Mol, ik ben te huur.. :Y)
Inderdaad. Het is een wonder als je uberhaubt op de Asus website kan komen. Hierdoor zal ik nevernooit meer een Asus server kopen :r
Iemand enig idee of deze exploit ook door AVG herkend wordt en mocht je deze hebben, is er een patch die deze exploit weer weghaalt?
* TD-er heeft de afgelopen dagen veelvuldig op de Asus site gezeten.
Mijn AVG gaat niet zeuren bij de site. Ik bezocht hem net voor verschillende landen, global, usa en indonesie en geen van hen geeft een melding. Nu bezoek ik hem wel met Opera, dus grote kans dat die het al tegen houd. Misschien is alleen IE vatbaar voor de exploit? Dat wordt namelijk niet duidelijk gezegt (of ik heb het niet goed gelezen in het oorspronkelijke bericht). Anyway, met Opera voel ik mij veilig, met FF ben je ook veilig en IE is gewoon zo lek als een mandje, al probeert MS er nog wat van te maken.

Iemand eigenlijk een idee of de patch die MS heeft uitgegeven nu wel normaal zijn werk doet en niet de Realtek drivers naar de klote helpt? Ik heb geen zin om zonder geluid te zitten door een stomme update die nergens over gaat en door laksigheid weer op is gekomen. Ik weet ook wel dat er weer een update voor is enzo, maar om nou 2x te herstarten voor een flut update, niet nodig.
Ook als je surft met Firefox op windows ben je kwetsbaar voor de ani-cursor vunerability !!!
Je veilig voelen is nog iets anders dan ook veilig zijn.
Hoe dan ook, ik heb die update niet ge´nstalleerd, AVG zeurt niet bij IE7 en heb niet echt het gevoel aangevallen te zijn. Misschien dat mijn firewall nog wat doet daartegen. Ik kreeg wel een ActiveX melding of ik een of ander Remote service data access wilde toestaan. Waarom zou Asus dat nodig hebben? Lijkt mij dat dat die exploit kan wezen. En ik heb geen Firefox draaien, alleen Opera en IE (IE voor updates only).
^^ Wezen benne kinderen zonder ouders...
@ sagher
da zou best kenne benne
waarom halen ze het er niet vanaf.....

asus.com.tw is nog altijd geinfecteerd...
Ze zijn allemaal nog ge´nfecteerd. Alleen het is wel bagger html zeg. Volgens mij struikelt Opera er gewoon over. De javascript wilt ie ook niet uitvoeren 8-)...
Nou je het zegt, ik check net de website en deze is nogsteeds 'geinfecteerd'.

Trojan.Anicmoo : bmw3[1].pig.
http://www.symantec.com/s...docid=2005-021610-3724-99

Netjes hoor.....
Ehm... tijd voor een update dat de infectie weg is denk ik zo sinds ik niks merk met Firefox en Kaspersky met of zonder HTTP scanning ??

Of doe ik iets verkeerd ??

Wat betreft ASUS : Die hebben als zo'n beetje sinds de A7V333 (KT333 Chip van Via) zo'n ongelooflijk gekloot met BIOS'en en andere problemen dat ik er sinds die tijd ongeveer heel ver weg vandaan blijf :Y)

Doe mij maar een DFI / GigaByte / Chaintech / Epox :) !!

Ow ja : Support van hun Routers is ook niet echt ideaal schijnt (8>
Beetje trieste flame hoor nero355. Je hebt al enkele jaren geen Asus moederborden gebruikt en doet er dan toch uitspraken over. En van de routers heb je kennelijk ook geen flauw benul want andes zou je niet van die domme dingen roepen.
Zijn ervaringen met de biossen deel ik gedeeltelijk wel. De laptops zijn echter prima.
Zijn mening die niet gebasseerd is op enige relevante eigen ervaring van laten we zeggen: de afgelopen 3 jaar. Die mening bedoel je?

Ik werk zelf beroepsmatig met meerdere soorten moederborden, en allemaal hebben ze zo hun eigenaardigheden en schoonheidsfoutjes. Maar om daarom zulke, negens op gebasseerde, dingen te roepen slaat gewoon nergens op.

Bovendien moet je niet vergeten dat Asus de grootste mobo fabrikant ter wereld is, en dat mensen die iets te klagen hebben dat altijd het hardst van de daken roepen. De goede ervaringen hoor en herinner je je altijd je veel minder. In een markt waar de marges slechts enkele procenten bedragen blijf je echt niet overeind als je BIOSsen zou produceren zoals nero355 ze schetst.
Nero heeft gelijk, maar het doet niet ter zake, daar heb je wel gelijk in.
en waar baseer je op dat nero gelijk heeft?

ik ben met iedereen eens dat de site traag met een hoofdletter T is, maar voor de rest heb ik nog nooit bios update problemen of iets dergelijks met asus gehad. ik gebruik altijd asus borden puur omdat ik er goede ervaringen mee heb gehad. als je het over andere leveranciers gaat hebben, gigabyte bijvoorbeeld, daar heb ik redelijk wisselende ervaringen mee. dit blijven mijn ervaringen, en ik kan me best voorstellen dat een ander dit direct kan weerleggen
Volgens mij is die site al jaren geinfecteerd met iets. Retetraag, een beetje normaal er doorheen bladeren is er niet bij. Echt een nadeel van het kopen van een Asus product.
Helemaal mee eens die Eu server doet het geloof ik niet eens of ik haal er maar 10kb/s met geluk dan vandaan om meetje drivers te downloaden van me moederbord en videokaart. Jammer dat ik hier bij mijn volgende aankoop van moederbord op moet gaan letten. of de support / drivers wel meetje degelijk te downloaden zijn >_<

@t stevie ja toen ging me pc om een of andere gare reden trippen, maar het doet het nu dus vind het best :P :7
Ha die joep alles goed, ik heb al gezegd die drivers moet je bij nvidia halen en niet bij Asus (nForce3 voor de andere mensen).

Maar je hebt wel gelijk die eu server is echt niet te gebruiken de helft van de tijd.

Aan de rest van de mensen:
Alleen soundmax geluidschip drivers moet je verplicht bij Asus halen voor de rest ga alstublieft naar de site van de fabrikant van de chips en niet naar de fabrikant van het moederboard / videokaart / whatever.

Waarom zou je een mogelijk oudere versie willen downloaden.

Of topic: op de Futuremark site staat volgens NOD32 ook een besmet bestand:

Download SPmark04 maar voor de Nokia 6630 als je NOD32 virusscanner hebt.
Ik heb ze er 2 weken geleden al over gemaild maar hun F-secure scanner ziet het Symbian virus niet dus doen ze niks. Het gaat om skulls.CM
(Dat of NOD maakte hier een foutje)
Detail:

Kaspersky word steeds genoemd terwijl een alert van NOD32 wordt getoont?

Link?
Antivirusproducent Kaspersky meldt op zijn site Viruslist.com dat de Asus-site is voorzien van een iframe
iFrame > Apple!! :o :+
:| dat is minder..

heb na 3 april mn pc geinstalleerd. en eerst drivers van asus gedownload, daarna pas mn virusscanner...
die dus geen viri kan vinden, maar mn pc doet wel raar.
*en ik vertrouwde asus nog wel*
Daarom kan je je drivers ook beter van asustreiber.de halen. Die website is tenminste ook nog fatsoenlijk snel, en de drivers zijn daar stukken makkelijker te vinden.
Avg maakt er ook netjes melding van zie screenshot www.devil-strike.net/asus-avg.jpg.

Maar dit kan tog gewoon weg niet, groot bedrijf met zeer slecht berijkbare servers, en nog eens een trojan op de servers ook. :Y)
http://www.devil-strike.net/asus-avg.jpg -> 404
http://www.devil-strike.net/ -> "This account has been suspended. Either the domain has been overused, or the reseller ran out of resources."

Lijkt op een gevalletje van slashdot, t.net variant :P
@SpiceWorm:

niet alleen IE...

FireFox heeft een andere EIP...

en de shellcode die uitgevoerd moet worden om een proces uit te voeren heeft een EIP (return-adres) nodig om een adres te returnen, zodat het bekend is waar de code in de memory is die uitgevoerd moet worden.

(Er wordt een local Buffer (of Stack) Overflow exploit gebruikt.)

Een video-tutorial voor Buffer Overflow (waar je ook kunt zien HOE deze exploits gemaakt worden) kun je hier wel zien:

hxxp://rapidshare.com/files/23958749/bof_basics2.wmv]Klik hier

Gemaakt door mijzelf...
Omdat de exploit voor IE is geschreven zit daar dus ook een IEP in voor IE. Bij firefox staat er op dat adres iets anders, dus daarom crashed firefox als ik het goed begrijp?
Note that animated cursor files are parsed when the containing folder is opened or it is used as a cursor. In addition, Internet Explorer can process animated cursor files in HTML documents, so web pages and HTML email messages can also trigger this vulnerability. Note that any Windows application may call the vulnerable code to process animated cursor files.
Wat dus niet volledig is:
o.a. FireFox ondersteund wel custom cursors, en is dus gevoelig voor het lek. Of deze exploit dus wel of niet werkt...?
Hoe zit het met Vista? hebben die dit probleem ook want kreeg de melding ook op vista NOD32?
Vista (IE7) gaf netjes de melding dat er iets uitgevoerd dreigde te worden. Ik heb maar niet uitgeprobeerd of er iets engs zou gebeuren als ik toestemming zou geven voor de uitvoering. Windows Live OneCare greep overigens ook in en heeft de boel opgeschoond. Daarbij was wel een herstart vereist.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True