---

Vi hører jo så tit herinde, at man skal benytte anti-spyware programmer
fordi der er noget malware der kan installere sig selv, på en patchet
maskine, uden at brugeren skal godkende handlingen.

I en diskussion med Prof. Ed Felten for nyligt[1], gav han samme grund
for at altid køre med anti-spyware på sin maskine. Jeg var rystet, ikke
mindst fordi han, af alle mennesker, ved man ikke kan stole på et OS
efter sådan en behandling. Han gav dog ikke specifikke eksempler på
sites der forbrød sig mod hans maskine.

Jeg har aldrig set noget af dette, ellers meget omtalte malware, der kan
installere sig selv automatisk. Hvor kan jeg finde det? Det skulle man
tro at alle tilhængerne af anti-spyware kan nævne hundrede af eksempler på.


[1] http://www.freedom-to-tinker.com/?p=870#comments
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst wrote:

> Hvor kan jeg finde det?

Jeg mener, at jeg har en diskette liggende fra T&S til indrapportering af
Intrastat, fra engang i starten af '90 erne.
Den indeholdt virus.
Dengang var det ganske normalt at scanne disketter for virus inden brug.
Hmm. jo selv en installationsdiskette til HP OpenView, indeholdt også en
virus.

Hvis vi fremskriver tiden, kan jeg godt se en reel mulighed for autoinstall
via Boot-CD / 'Autorun - CD' osv.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:
> Hvis vi fremskriver tiden, kan jeg godt se en reel mulighed for autoinstall
> via Boot-CD / 'Autorun - CD' osv.

Det var dengang. Sådan virker malware jo ikke længere. Nu om dage bliver
det skrevet til at komme ind via mail klienter og web browsere.
Sikkerhedsproblemerne i autorun er iøvrigt veldokumenterede.

Hvor finder jeg malware der kan inficere en opdateret maskine, helt
automatisk, uden at brugerens opførsel spiller nogen rolle? Der må være
en grund til, at alle de mennesker benytter anti-virus og anti-spyware.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst wrote:
> Stig Johansen wrote:
>> Hvis vi fremskriver tiden, kan jeg godt se en reel mulighed for
>> autoinstall via Boot-CD / 'Autorun - CD' osv.
>
> Det var dengang. Sådan virker malware jo ikke længere. Nu om dage
> bliver det skrevet til at komme ind via mail klienter og web browsere.
> Sikkerhedsproblemerne i autorun er iøvrigt veldokumenterede.
>
> Hvor finder jeg malware der kan inficere en opdateret maskine, helt
> automatisk, uden at brugerens opførsel spiller nogen rolle?

Det kommer vil an på hvordan den maskine nu er sat op til f.eks. at behandle
ActiveX og andre ting.
Du kan jo f.eks. prøve at gå ind på denne side:
http://vvv.cracks.am/d.x?92914 (Udskift selv vvv med www - Jeg tager intet
ansvar for hvad der sker med din maskine herefter!!)

Mvh. Flemming

---

Via

http://www.google.com/url?sa=t&ct=res&cd=8&url=http%3A//www.musicsearcher.com/Artists/Charlotte%2BMbango/&ei

kom jeg i forbindelse med

http://isg25.casalemedia.com/V2/40937/43147/

og

http://www.errorguard.com/?a=25268-23

Spywareinstaller eller virus?
- nogen der tør prøve?
jeg lukkede pop-up siderne (pop-ups skulle nu være blokerede i forvejen),
men genfandt adresserne via history . . .

Spywareblaster fandt en "Microsoft Anti-virus Override", som blev slettet.
Derefter alle scans uden nogen bemærkninger.

Mvh Alf

---

"Alf Blume" <alfblume(A)hotmaildotcom> skrev i en meddelelse
news:42f484b8$0$65474$edfadb0f@dread14.news.tele.dk...
> Via
>
> http://www.google.com/url?sa=t&ct=res&cd=8&url=http%3A//www.musicsearcher.com/Artists/Charlotte%2BMbango/&ei
>
> kom jeg i forbindelse med
>
> http://isg25.casalemedia.com/V2/40937/43147/
>
> og
>
> http://www.errorguard.com/?a=25268-23
>
> Spywareinstaller eller virus?
> - nogen der tør prøve?
> jeg lukkede pop-up siderne (pop-ups skulle nu være blokerede i forvejen),
> men genfandt adresserne via history . . .
>
> Spywareblaster fandt en "Microsoft Anti-virus Override", som blev slettet.
> Derefter alle scans uden nogen bemærkninger.

Undskyld det var Spybot der fandt noget . . .

---

Alf Blume wrote:
> http://isg25.casalemedia.com/V2/40937/43147/

...<!-- AUTO_PROMPT AD START -->
<script language="JavaScript" type="text/JavaScript"
src="http://install.xxxtoolbar.com/ist/scripts/prompt.php?event_type=onload&recurrence=random&retry=3&loadfirst=1&account_id=138770&signature=cracks">
<script language="JavaScript">self.focus();</script><!-- AUTO_PROMPT AD
END -->...

Man prøver at installere en toolbar, 0006_cracks.cab

Når jeg scanner cab filen får jeg:

AntiVir    Found TR/Dldr.IstBa.DLL.B
ArcaVir    Found Trojan.Downloader.Istbar.Gen.58828.MX
Avast    Found nothing
AVG Antivirus    Found nothing
BitDefender    Found nothing
ClamAV    Found nothing
Dr.Web    Found Trojan.Isbar.324
F-Prot Antivirus    Found nothing
Fortinet    Found nothing
Kaspersky Anti-Virus    Found Trojan-Downloader.Win32.IstBar.gen
NOD32    Found nothing
Norman Virus Control    Found nothing
UNA    Found nothing
VBA32    Found Trojan-Downloader.Win32.IstBar.gen

AntiVir   6.31.1.0   08.05.2005   TR/Dldr.IstBa.DLL.B
Avast   4.6.695.0   08.05.2005   no virus found
AVG   718   08.04.2005   no virus found
Avira   6.31.1.0   08.05.2005   no virus found
BitDefender   7.0   08.07.2005   no virus found
CAT-QuickHeal   7.03   08.07.2005   TrojanDownloader.IstBar.gen
ClamAV   devel-20050725   08.06.2005   no virus found
DrWeb   4.32b   08.06.2005   Trojan.Isbar.324
eTrust-Iris   7.1.194.0   08.06.2005   no virus found
eTrust-Vet   11.9.1.0   08.05.2005   no virus found
Fortinet   2.36.0.0   08.05.2005   Adware/IstBar
F-Prot   3.16c   08.05.2005   no virus found
Ikarus   0.2.59.0   08.05.2005   no virus found
Kaspersky   4.0.2.24   08.07.2005   Trojan-Downloader.Win32.IstBar.gen
McAfee   4551   08.05.2005   potentially unwanted program Adware-RBlast
NOD32v2   1.1187   08.05.2005   no virus found
Norman   5.70.10   08.05.2005   no virus found
Panda   8.02.00   08.06.2005   no virus found
Sophos   3.96.0   08.06.2005   no virus found
Sybari   7.5.1314   08.07.2005   no virus found
Symantec   8.0   08.06.2005   no virus found
TheHacker   5.8.2.081   08.07.2005   no virus found
VBA32   3.10.4   08.05.2005   Trojan-Downloader.Win32.IstBar.gen


Det lyder som den scanning du selv har kørt.

Jeg gætter dog på at cab filen bliver cachet og du derefter skal svare
"ja" for at installere denne...din scanner vil så se cache filen, uden
det dog normalt er et problem.

CAB filen er forresten underskrevet med et gyldigt digital signatur.

> og
>
> http://www.errorguard.com/?a=25268-23

<html>^M
<head><title>Warning</title></head>^M
<body topmargin=0 leftmargin=0>^M
<a
href="http://c.casalemedia.com/c?f=3&id=1&url=aHR0cDovL3d3dy5lcnJvcmd1YXJkLmNvbS8/YT0yNTI2OC0yMw==
&c=40937" target="_blank" ><img src="errorguard-wizzardb.gif"
width="720" height="300" border="0"></a>^M
</body></html>

Der bliver vist et billed.

Når jeg scanner billedet får jeg

AntiVir    Found nothing
ArcaVir    Found nothing
Avast    Found nothing
AVG Antivirus    Found nothing
BitDefender    Found nothing
ClamAV    Found nothing
Dr.Web    Found nothing
F-Prot Antivirus    Found nothing
Fortinet    Found nothing
Kaspersky Anti-Virus    Found nothing
NOD32    Found nothing
Norman Virus Control    Found nothing
UNA    Found nothing
VBA32    Found nothing

> Spywareinstaller eller virus?
> - nogen der tør prøve?
> jeg lukkede pop-up siderne (pop-ups skulle nu være blokerede i forvejen),
> men genfandt adresserne via history . . .
>
> Spywareblaster fandt en "Microsoft Anti-virus Override", som blev slettet.

Hvor lå denne...i en 0006_cracks.cab fil?

> Derefter alle scans uden nogen bemærkninger.

Er det det eneste der skal til før man tror man har malware?

---

On Sun, 07 Aug 2005 09:58:01 +0200, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>Alf Blume wrote:
>> http://isg25.casalemedia.com/V2/40937/43147/
>
>...<!-- AUTO_PROMPT AD START -->
><script language="JavaScript" type="text/JavaScript"
>src="http://install.xxxtoolbar.com/ist/scripts/prompt.php?event_type=onload&recurrence=random&retry=3&loadfirst=1&account_id=138770&signature=cracks">
><script language="JavaScript">self.focus();</script><!-- AUTO_PROMPT AD
>END -->...
>
>Man prøver at installere en toolbar, 0006_cracks.cab
>
>Når jeg scanner cab filen får jeg:
>
>AntiVir    Found TR/Dldr.IstBa.DLL.B
>ArcaVir    Found Trojan.Downloader.Istbar.Gen.58828.MX
>Avast    Found nothing

Underligt, jeg bruger avast 4.6 og den finder den uden problemer.

Er den avast du bruger fuldt opdateret?

---

Jørgen Rasmussen wrote:
> Underligt, jeg bruger avast 4.6 og den finder den uden problemer.
>
> Er den avast du bruger fuldt opdateret?

Jeg bruger to uafhængige installationer. Den sidste installation siger
følgende:

4.6.695.0 08.05.2005

---

On Sun, 07 Aug 2005 16:02:59 +0200, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>Jørgen Rasmussen wrote:
>> Underligt, jeg bruger avast 4.6 og den finder den uden problemer.
>>
>> Er den avast du bruger fuldt opdateret?
>
>Jeg bruger to uafhængige installationer. Den sidste installation siger
>følgende:
>
>4.6.695.0 08.05.2005
>

Hmmm, er det pro eller en knækket version?

Jeg bruger Home edition, og har lige kørt en check og min siger
følgende:

- Program: Already up to date
(current version 4.6.691)
- Vps: Already up to date
(current version 0531-4)

Som du kan se har du tilsyneladende en ikke frigivet version, lidt
underligt.

---

On Sun, 07 Aug 2005 16:02:59 +0200, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>Jørgen Rasmussen wrote:
>> Underligt, jeg bruger avast 4.6 og den finder den uden problemer.
>>
>> Er den avast du bruger fuldt opdateret?
>
>Jeg bruger to uafhængige installationer. Den sidste installation siger
>følgende:
>
>4.6.695.0 08.05.2005
>

Jeg har lige kigget på avast's hjemmeside http://www.avast.com/ og den
version du bruger er ikke på listen over de sidst udgivne.

avast! 4 Home/Pro Edition
program: 4.6.691 9.7.2005

avast! Server Edition
program: 4.6.489 20.7.2005

ADNM
program: 4.6.378 20.7.2005

avast! Managed Client
program: 4.6.394 20.7.2005

Hvor har du din version fra?

---

On Sun, 07 Aug 2005 16:02:59 +0200, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>Jørgen Rasmussen wrote:
>> Underligt, jeg bruger avast 4.6 og den finder den uden problemer.
>>
>> Er den avast du bruger fuldt opdateret?
>
>Jeg bruger to uafhængige installationer. Den sidste installation siger
>følgende:
>
>4.6.695.0 08.05.2005
>

Hov ser lige din er fra 8-5-2005 så kan det IKKE være 4.6.695.0

Den nyeste er:

avast! 4 Home/Pro Edition
program: 4.6.691 9.7.2005

Som du kan se er den fra 9-7-2005


Der er noget der ikke stemmer.

---

Den Sun, 07 Aug 2005 18:28:50 +0200 skrev Jørgen Rasmussen:
> On Sun, 07 Aug 2005 16:02:59 +0200, "Christian E. Lysel"
> <sunsite.dk@spindelnet.dk> wrote:
>
>>Jørgen Rasmussen wrote:
>>> Underligt, jeg bruger avast 4.6 og den finder den uden problemer.
>>>
>>> Er den avast du bruger fuldt opdateret?
>>
>>Jeg bruger to uafhængige installationer. Den sidste installation siger
>>følgende:
>>
>>4.6.695.0 08.05.2005
>>
>
> Hov ser lige din er fra 8-5-2005 så kan det IKKE være 4.6.695.0
>
> Den nyeste er:
>
> avast! 4 Home/Pro Edition
> program: 4.6.691 9.7.2005

691 fra 9. juli
695 fra 5. august

Det ser da meget fornuftigt ud.

Det kunne så se ud til at Christian bruger en engelsk Windows...

Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.

---

On 07 Aug 2005 16:31:37 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Den Sun, 07 Aug 2005 18:28:50 +0200 skrev Jørgen Rasmussen:
>> On Sun, 07 Aug 2005 16:02:59 +0200, "Christian E. Lysel"
>> <sunsite.dk@spindelnet.dk> wrote:
>>
>>>Jørgen Rasmussen wrote:
>>>> Underligt, jeg bruger avast 4.6 og den finder den uden problemer.
>>>>
>>>> Er den avast du bruger fuldt opdateret?
>>>
>>>Jeg bruger to uafhængige installationer. Den sidste installation siger
>>>følgende:
>>>
>>>4.6.695.0 08.05.2005
>>>
>>
>> Hov ser lige din er fra 8-5-2005 så kan det IKKE være 4.6.695.0
>>
>> Den nyeste er:
>>
>> avast! 4 Home/Pro Edition
>> program: 4.6.691 9.7.2005
>
>691 fra 9. juli
>695 fra 5. august

08.05.2005
09.07.2005

Kan du se en forskel, han er fra maj tilsyneladende, og jeg har lige
kigget hans scanninger, mange af de programmer han bruger er langt fra
opdateret, så nej det er ikke fornuftigt, og ifølge avast er der IKKE
udgivet en 695, så den teori holder ikke vand.

---

Kent Friis wrote:
> Det kunne så se ud til at Christian bruger en engelsk Windows...

Næ, jeg bruger min http klient:

http://virusscan.jotti.org/

http://www.virustotal.com/xhtml/index_en.html

---

On Sun, 07 Aug 2005 18:40:59 +0200, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>Kent Friis wrote:
>> Det kunne så se ud til at Christian bruger en engelsk Windows...
>
>Næ, jeg bruger min http klient:
>
>http://virusscan.jotti.org/
>
>http://www.virustotal.com/xhtml/index_en.html

Det viser så bare at de onlinescannere ikke er på højde med den ægte
vare.

---

Den Sun, 07 Aug 2005 18:49:40 +0200 skrev Jørgen Rasmussen:
> On Sun, 07 Aug 2005 18:40:59 +0200, "Christian E. Lysel"
> <sunsite.dk@spindelnet.dk> wrote:
>
>>Kent Friis wrote:
>>> Det kunne så se ud til at Christian bruger en engelsk Windows...
>>
>>Næ, jeg bruger min http klient:
>>
>>http://virusscan.jotti.org/
>>
>>http://www.virustotal.com/xhtml/index_en.html
>
> Det viser så bare at de onlinescannere ikke er på højde med den ægte
> vare.

Fordi de er nyere?

Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.

---

On 07 Aug 2005 16:49:16 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Den Sun, 07 Aug 2005 18:49:40 +0200 skrev Jørgen Rasmussen:
>> On Sun, 07 Aug 2005 18:40:59 +0200, "Christian E. Lysel"
>> <sunsite.dk@spindelnet.dk> wrote:
>>
>>>Kent Friis wrote:
>>>> Det kunne så se ud til at Christian bruger en engelsk Windows...
>>>
>>>Næ, jeg bruger min http klient:
>>>
>>>http://virusscan.jotti.org/
>>>
>>>http://www.virustotal.com/xhtml/index_en.html
>>
>> Det viser så bare at de onlinescannere ikke er på højde med den ægte
>> vare.
>
>Fordi de er nyere?

Fordi de IKKE er opdateret.

---

Den Sun, 07 Aug 2005 18:52:29 +0200 skrev Jørgen Rasmussen:
> On 07 Aug 2005 16:49:16 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>Den Sun, 07 Aug 2005 18:49:40 +0200 skrev Jørgen Rasmussen:
>>> On Sun, 07 Aug 2005 18:40:59 +0200, "Christian E. Lysel"
>>> <sunsite.dk@spindelnet.dk> wrote:
>>>
>>>>Kent Friis wrote:
>>>>> Det kunne så se ud til at Christian bruger en engelsk Windows...
>>>>
>>>>Næ, jeg bruger min http klient:
>>>>
>>>>http://virusscan.jotti.org/
>>>>
>>>>http://www.virustotal.com/xhtml/index_en.html
>>>
>>> Det viser så bare at de onlinescannere ikke er på højde med den ægte
>>> vare.
>>
>>Fordi de er nyere?
>
> Fordi de IKKE er opdateret.

5. august er en nyere opdatering end din i juli.

At den nye opdatering så ikke finder virus'en kan man vel ikke
bebrejde online-scanneren. Når først din får samme opdatering, finder
den den nok heller ikke længere.

Iøvrigt plejer jeg at bruge en online-scanner når der er en virus
McAfee ikke kan finde - eller det gjorde jeg indtil jeg blev så sur
på McAfee at den røg helt ud.

Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.

---

Jørgen Rasmussen wrote:
>>http://www.virustotal.com/xhtml/index_en.html
> Det viser så bare at de onlinescannere ikke er på højde med den ægte
> vare.

Øhhh...onlinescannerne er bygget på baggrund af den ægte vare.

Producentens egen scanner kan heller ikke se den:

http://onlinescan.avast.com/


Jeg gætter på der er en fejl i kommando linie versionen.

---

On Sun, 07 Aug 2005 18:52:52 +0200, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>Jørgen Rasmussen wrote:
>>>http://www.virustotal.com/xhtml/index_en.html
>> Det viser så bare at de onlinescannere ikke er på højde med den ægte
>> vare.
>
>Øhhh...onlinescannerne er bygget på baggrund af den ægte vare.
>
>Producentens egen scanner kan heller ikke se den:
>
>http://onlinescan.avast.com/

Ja det er jo lidt af en brøler

>
>
>Jeg gætter på der er en fejl i kommando linie versionen.

Lyder som et rigtigt godt bud.

---

Den Sun, 07 Aug 2005 18:52:52 +0200 skrev Christian E. Lysel:
> Jørgen Rasmussen wrote:
>>>http://www.virustotal.com/xhtml/index_en.html
>> Det viser så bare at de onlinescannere ikke er på højde med den ægte
>> vare.
>
> Øhhh...onlinescannerne er bygget på baggrund af den ægte vare.
>
> Producentens egen scanner kan heller ikke se den:
>
> http://onlinescan.avast.com/
>
>
> Jeg gætter på der er en fejl i kommando linie versionen.

Scanner-delen skulle da meget gerne være den samme uanset brugergrænse-
flade, ellers er der nogen programmører der skal sendes på genoptræning.

Nok nærmere en fejl i den nye opdatering, hvilket måske kunne være
årsagen til at denne opdatering ikke er sendt ud til kunderne endnu.

Mvh
Kent
--
Hard work may pay off in the long run, but lazyness pays off right now.

---

Jørgen Rasmussen wrote:
>>
>> AntiVir Found TR/Dldr.IstBa.DLL.B
>> ArcaVir Found Trojan.Downloader.Istbar.Gen.58828.MX
>> Avast Found nothing
>
> Underligt, jeg bruger avast 4.6 og den finder den uden problemer.

Det gør min avast 4.6.691 med virus DB:05-08-2005 også.

Mvh. Flemming

---

On Sun, 7 Aug 2005 17:51:39 +0200, "Flemming" <spamme@trashcan.dk>
wrote:

>Jørgen Rasmussen wrote:
>>>
>>> AntiVir Found TR/Dldr.IstBa.DLL.B
>>> ArcaVir Found Trojan.Downloader.Istbar.Gen.58828.MX
>>> Avast Found nothing
>>
>> Underligt, jeg bruger avast 4.6 og den finder den uden problemer.
>
>Det gør min avast 4.6.691 med virus DB:05-08-2005 også.
>

Ja det er sidste nye af begge dele

Men den pågældende Trojan har min Avast altid snuppet, så der er noget
galt med det testsetup han har brugt.

---

Jørgen Rasmussen wrote:
> Underligt, jeg bruger avast 4.6 og den finder den uden problemer.

Prøv http://onlinescan.avast.com/ den mener også den er "clean".

---

On Sun, 07 Aug 2005 18:46:07 +0200, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>Jørgen Rasmussen wrote:
>> Underligt, jeg bruger avast 4.6 og den finder den uden problemer.
>
>Prøv http://onlinescan.avast.com/ den mener også den er "clean".

Ikke nødvendigt, jeg tror på dig, men det understreger også at man
ikke kun kan nøjes med onlinescan.

---

Jørgen Rasmussen wrote:
>>Prøv http://onlinescan.avast.com/ den mener også den er "clean".
> Ikke nødvendigt, jeg tror på dig, men det understreger også at man
> ikke kun kan nøjes med onlinescan.

Vi snakker om producentens egen scanner.

De første nævte online scanner er gode, da man får 23 producenters mening.

---

On Sun, 07 Aug 2005 18:58:30 +0200, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>Jørgen Rasmussen wrote:
>>>Prøv http://onlinescan.avast.com/ den mener også den er "clean".
>> Ikke nødvendigt, jeg tror på dig, men det understreger også at man
>> ikke kun kan nøjes med onlinescan.
>
>Vi snakker om producentens egen scanner.

Ja og det må siges at være lidt pinligt.

>
>De første nævte online scanner er gode, da man får 23 producenters mening.
>

Muligt, kender ikke den omtalte side, men jeg vil kigge nærmere på
den.

---

On Sun, 07 Aug 2005 09:58:01 +0200, "Christian E. Lysel"
<sunsite.dk@spindelnet.dk> wrote:

>Alf Blume wrote:
>> http://isg25.casalemedia.com/V2/40937/43147/
>
>...<!-- AUTO_PROMPT AD START -->
><script language="JavaScript" type="text/JavaScript"
>src="http://install.xxxtoolbar.com/ist/scripts/prompt.php?event_type=onload&recurrence=random&retry=3&loadfirst=1&account_id=138770&signature=cracks">
><script language="JavaScript">self.focus();</script><!-- AUTO_PROMPT AD
>END -->...
>
>Man prøver at installere en toolbar, 0006_cracks.cab
>
>Når jeg scanner cab filen får jeg:
>
>AntiVir    Found TR/Dldr.IstBa.DLL.B
>ArcaVir    Found Trojan.Downloader.Istbar.Gen.58828.MX
>Avast    Found nothing

Har lige smidt et billede i dk.binaer som viser fundet med avast.

---

"Alex Holst" <a@mongers.org> wrote in message
news:42f3e457$0$157$edfadb0f@dtext02.news.tele.dk...

Hej Alex,

> Jeg har aldrig set noget af dette, ellers meget omtalte malware, der kan
> installere sig selv automatisk. Hvor kan jeg finde det? Det skulle man
> tro at alle tilhængerne af anti-spyware kan nævne hundrede af eksempler
på.

Jeg kan ikke give dig samples eller links i et offentligt forum, men mange
sider som hoster spyware, eller skadelig kode generelt, udnytter ofte
proof-of-concept exploits. Vi modtager ofte de første "in the wild"
rapporter få dage efter at exploitkode er tilgængeligt. Scenariet opstår når
browser software er fundet sårbart og PoC frigives inden der foreligger en
patch.

En del ondsindede personer har gjort brug af kombinationer af allerede
kendte sårbarheder, men også modificeret koden, så den i skøn
sammenblandning kan lede til kørsel af vilkårlig kode - helt eller delvist,
afhængig af indstillingerne i browseren. På det seneste - og siden
publikationen af en remote sårbarhed i IE, har flere anvendt kode fra
Berend-Jan Wever's webside. Mange rent copy+paste - flere i modificeret
form.

Venligst
Peter Kruse
http://www.csis.dk