Possivel virus no forum

[Patrique 0]

É um absurdo e uma falta de respeito para com os usuários de não alertar-los de que o plugin oferecido pelo fórum se trata de um vírus, é aceitável que não estão conseguindo bloquear isso, porém é um absurdo não alertar os membros para não fazerem o download, um aviso simples no topo já seria o bastante, preferem poluir o site com trocentos anuncios e em um caso tão sério como este não fazem nada... mal vem aqui para prestar esclarecimentos, imaginem quantos usuários já podem ter sido afetados... e o absurdo disso tudo é não se tomar uma atitude de profissionais... pois podem dizer que estão tentando, mais isso não é o bastante... um anuncio deveria ser dado para que todos ficassem cientes e não somente aqueles que leem este tópico, este referido já esta a mais de 1 mês aqui no fórum e necaaaaaaaaa.

 

Leva mal não, mais isto é um absurdo e uma falta de respeito para que com os usuários que frequentam este site.

[RafaelNMNM 0]

Já tinha visto esse alerta do java aqui tbm, mas agora tah aparecendo um novo, não se é da minha maquina virtual ou se é algo do fórum... : S

 

[Silas Martins 0]

Concordo contigo Patrique, pois o problema deveria ser tratado com mais seriedade por parte do iMasters e seus responsáveis.

Não leva a mal nao mais minha parte eu vou fazer, ou seja ponto vermelho para o imasters no Wot e onde eu puder vou alertar pois é muito descaso.

[Mário Monteiro 179]

infelizmente daqui do ambiente do fórum não tem muito o que fazer para corrigir o problema que já foi reportado novamente

[Patrique 0]

Sim ok, eu sei que o pessoal da equipe que modera o fórum (admins, moderas) não podem fazer nada já que apenas tem controle do fórum e não do server para verificar, porém deveriam reivindicar e cobrar atitudes por parte dos responsáveis por esta tarefa e não apenas reportar o aviso, o que esta me deixando chateado é ver que nenhum aviso foi colocado como alerta para os usuários que entram neste fórum, somente quem acessa este tópico saberá que aquele plugin se trata de um vírus e não de uma atualização corriqueira do Java, certamente muitos já instalaram, falo isso pois o imasters é visitado por milhares de pessoas diariamente e levando em conta que este problema já esta a cerca de 1 mês, já da para se ter uma idéia.

 

Um simples alerta colocado no topo da index ao menos mostraria que os responsáveis estão prevenindo os usuários, pois deixar isso ir rolando e a galera instalando sem ter a noção de que pode ser contaminado é um absurdo.

 

O certo na verdade seria deixar o fórum off sem acesso até que o problema fosse resolvido, porém acho que isso seria muito difícil, por isso considero que um aviso já seria meio caminho andado e mostraria que estariam preocupados com a segurança dos pcs dos usuários.

 

Sei perfeitamente que os admins nesse caso não podem fazer nada a respeito do vírus, mais vocês deveriam cobrar que atitudes de prevenção sejam tomadas e não deixar isso como está, vocês neste caso representam milhares de pessoas, por isso não basta apenas emitir o alerta tem que pedir atitudes que possam ajudar a prevenir enquanto esse vírus não saia do fórum.

[Elektra 102]

Eu fui a chata que tô martelando nisso desde o início.

 

Partilhei tópicos alheios e adicionei próprios.

 

Reclamei da falha em não informar os usuários.

 

Sempre publiquei alertas pelo meu status.

 

 

 

Recebi a gentileza por parte do Mário Monteiro sobre a notificação aos responsáveis.

 

Em outra circunstância, tudo o que fizeram foi remover meu tópico de um lugar para o outro e "organizar" em links as imagens que adicionei para facilitar o conhecimento público.

 

 

Não tive problemas com a mensagem suspeita, estou bem informada das atualizações que faço e uso uma versão paga de um programa de segurança respeitável.

 

Só tenho a lamentar a atitude de desrespeito aos usuários por parte do UOL.

 

Abraços

[Silas Martins 0]

Não da pra remover pelo admin cp mas da pra criar um Rule (anuncio) ou inserir no topo do fórum uma textarea o que não precisa de ftp.

 

Acho que a administração ta muito passiva e enquanto isso os membros que saem prejudicados.

 

Já reportei o problema ao malware domains list e estarão atualizando a lista ou seja em breve o imasters terá seu nome em uma lista que consta site perigosos a navegação. O que não é nada legal para a imagem do fórum nem do portal.

 

Eu apenas quero com isso que a administração e o suporte se atentem para o problema e o resolvam, pois não é nenhum bicho de 7 cabeças. Se o suporte contratado do imasters não ta dando conta não seria hora de contratar pessoal capacitado para tal ? E não é desmerecendo a atual equipe é que não vi nenhum comunicado por parte dos mesmo aos membros e nem ao menos esclarecimentos do que se trata.

 

Poderia eu aqui ficar apontando inúmeras falhas referente a este problema por parte da administração/suporte mas o que da indignação é que por mais que se reclame nenhuma medida é tomada, ou se é tomada não surte efeito esperado.

 

 

Me desculpe Mário mais só reportar não adianta, acho que um anuncio global já deveria estar disponível explicando aos internautas o problema e mais como evita-lo (lembrando que o uso de add-ons como Noscript impede a instalação do auto-infect pois o mesmo usa de javascript para se instalar).

Espero que alguma medida seja tomada antes que a situação se agrave, e tenhamos um número grande de infectados o que iria gerar uma rede de sites infectados, pois este tipo de vírus só tem por funcionalidade infiltrar na maquina e se inscrever em arquivos e quando usado a porta do ftp o mesmo se upa para o host.

[Elektra 102]

Silas, li seu post informando sobre as vulnerabilidades do site faz um tempo.

 

Isso foi bem antes do que anda ocorrendo.

 

Quanto ao uso do Noscript recebi a informação por parte de um dos moderadores da área de Segurança, mas relacionado ao Firefox, e apenas no tópico, nada a nível geral.

 

Muitos colegas aqui do fórum relataram aceitar a instalação através da mensagem enganosa e não eram tão leigos assim. Pelas informações deixou o Avira enlouquecido.

 

Em dos meus posts relatei mensagem "semelhante" ao acessar o site keepvid.com, a diferença era o endereço de origem do applet. Uso este site regularmente para baixar vídeos do YouTube.

 

Após rejeição inicial, por confiar no software de segurança que uso, permiti a instalação, não tive nenhum problema. O único inconveniente é que a cada acesso para baixar vídeos a página requer novamente a instalação.

 

 

Já na página do fórum é outra história. Segundo informações refere-se a instalação de um suposto Flash Player 11, quando na realidade o plugin está na versão 10. Uso Flash CS4 original e recebo atualizações pelo site da Adobe, daí me chamar a atenção para o disparate na página do fórum, sempre tenho o plugin atualizado. Minha área de interesse é o Flash.

 

Ao acessar a home do UOL, tudo tranquilo. Isso ocorre só na página do fórum, ao menos em minhas observações.

 

Outro colega também informou sobre o autoinfect, e não aconteceu nada.

 

Também foi informado situação semelhante em outros sites.

 

 

Mesmo diante de tal situação a comunidade (desenvolvedores) permaneceu indiferente.

 

 

Se muitos outros usuário botassem a boca no trombone talvez a situação fosse outra.

 

Excelente atitude em adicionar o site a uma lista de "endereços perigosos", talvez surta algum efeito. Minha falta de conhecimento não me permitiu tal providência.

 

 

Abraços

[Silas Martins 0]

Esse problema é geral, e faz parte de um mega ataque botnet, o problema é que 90% dos sites na web não tem um setor exclusivo para segurança, dai quando surge algo desse nível todos se assustam tardia-mente.

 

Exemplo disso o site que você citou, outro exemplo o G1 que também passou por problemas similares, e milhares de outros sites, a diferença é que no G1 logo conseguiram remover, e em outros sites a área afetada foi colocada em off, o que é o correto.

 

Porém não vou me estender porque tão louco para me banir e eu não quero dar motivos, só quero que a adm tome as medidas cabíveis pois o assunto que esta sendo tratado é grave e não esta sendo dado a ele a devida importância.

 

Não quero alarmar ninguém mais mesmo negando acesso ao plugin fica infecção no computador mais exatamente em uma pasta do firefox que agora esqueci o nome. Digo isso porque fiz um teste na VM e vi os arquivos que são gerados pelo plugin, e mesmo negando surge um arquivo malicioso, que não é muito prejudicial apenas infla seu HD.

[Mário Monteiro 179]

Sobre reportar o problema a X ou a Y é um direito e opção de cada um

 

Sobre o aviso foi feito agora e está disponível em todos os fóruns

 

Anuncio Global

 

Se alguém tiver mais alguma contribuição sinta-se a vontade

 

Assim como vocês a mim só resta aguardar a solução também

[André D. Molin 15]

Eu me infectei com essa praga, alguem sabe como remover? Meu KIS 2010 não detectou nada...

[Pantoja 5]

GOstaria de saber mais detalhes do que a praga causa no computador infectado.

[Fabio_Oliveira 0]

Também gostaria de saber mais à respeito do que ela causa pois eu tive este problema não só no iMasters. Meu KIS2010 alertou sobre o problema com o Java mas acho que ele só deu este alerta depois de ter feito a atualização, porém não foi pelo iMasters e sim por outro portal. Ele pede também uma atualização do FlashPlayer, mas essa eu não fiz.

[Elektra 102]

Vai ser bem legal alguma informação mais precisa.

 

 

O alerta glogal está bastante obscuro diante da gravidade e reincidência da situação (e bem tardio).

 

 

Eu uso Windows Vista (Ultimate) e vários Adobe CS4 originais, recebo atualizações do Java pelo Updater (a última foi em 30 de março - fiz Print Screen do processo para observar alguma diferença - mas tudo foi absolutamente normal).

 

Não permiti a instalação do "Flash Player" pela mensagem enganosa exibida no Imasters, mas como pelo site keepvid.com havia clareza de informações quanto a origem e referência ao applet do Java, permiti a instalação, sem isso era impossível baixar os vídeos do YouTube. Meu antivírus permaneceu tranquilo e nenhuma alteração perceptível.

 

Ficou a dúvida, posso estar infectada???

 

Informei a situação do keepvid aos colegas do fórum de Segurança, fica o registro para outros usuários do fórum:

 

http://forum.imasters.com.br/index.php?/topic/388810-novamente-warning-flash-player-java/page__p__1513430__fromsearch__1entry1513430

 

 

Nenhuma crítica ao seu interesse Mário. Foi o único administrador a se manifestar (e os outros ???).

 

 

No período que o site sofria atualizações (sendo entupido de banners e links patrocinados), como desconhecia outros meios na época, entrei em contato com os responsáveis pelo site, informei que estando logada, num determinado momento, ficou impossível acessar o fórum por várias horas sem condições de logout. Após uns 2 ou 3 dias recebi uma mp (ou email, não lembro) da equipe de programadores do UOL comunicando que estava tudo ok, mas não era verdade, o problema permaneceu por um bom tempo.

 

Portanto, não é de admirar o descaso. Seria mais honesto informar dias e horários em que o site receberia atualizações ou possíveis inconvenientes de acesso. Mas isso não ocorreu.

 

Quanto a mensagem enganosa do Java, realmente surpreendente foi a inércia por parte dos usuários do fórum em não solicitar providências.

 

Me qualifico como uma usuária "leiga" (mas não desatenta, ou desinformada), e desde o início considerei o assunto de máxima seriedade.

 

Perdoem-me expressar sinceramente minha opinião a respeito.

 

Não tenho intenção de desmerecer ninguém, mas "regras" devem valer em todos os sentidos, respeito é sinal de evolução.

 

Abraços

[T-Rex 0]

ok, acredito que estou infectado, hehe, mas então... oq o bixo faz exatamente?

eu uso o google chrome e tenho tido esse pedido de atualização frequentemente... também aconteceu de esses dias o plugin do flash parar e aparecer uma mensagem de q eu nao tinha o flash, não sei se tem haver, mas foi estranho...

Axo q vou formatar o pc, mas de qlqr maneira... queria saber oq exatamente ele faz.

outra coisa importante! A mensagem sobre o problema está muito escondida, acho que se o problema ta afetando tanta gente deveria ter um destaque e alertar o pessoal sobre o risco, na home do fórum.

Eu só fui ver a mensagem hj.

[espiculo 1]

Opá pessoal ,

 

Estou aqui ..

 

 

outra coisa , ou admin troca a senha do ftp , ou da hospedagem .

 

ou da uma atualizada nesse forum . upa de novo todos arquivo do forum ,

 

E para o pessoal que acha que esta, com o "java" falso me passa os log HijackThis :D , outra o ip e do brasil então esta hospedado em hospedagem que trabalha no br :D

[Silas Martins 0]

Achei o iframe usando o malzilla, e como eu imaginava, a remoção do mesmo é coisa simples.

 

Adicionando informação sobre este tipo de virus, bom lá vai:

Auto-infect ou iframe é o nome dado ao conteúdo que é inserido em um determinado site por meio de javascipt ou ajax( sendo essa segunda opção pouca utilizada). Apesar de ser uma dor de cabeça para webmasters, este virus não traz danos ao computador infectado pois ele é desenvolvido para se proliferar sem ser notado.

Este tipo de virus começou a ser mais utilizado em 2008 quando hacker inseriram um iframe na rede ABC News. Como já foi visto os elementos usados podem variar de acordo com a vontade do hacker, desde um simples pop-up até um elaborado flash; ou ainda como aqui se passando por um plugin.

 

Na maioria das vezes a maquina infectada nem apresenta características de infecção, a infecção por meio deste tipo de virus acarreta na multiplicação de arquivos em seu HD.

 

Lembrando que este virus não é danoso ao sistema operacional porém se torna um "saco" por encher o HD em pouco tempo, e alguns mesmo sendo deletados reaparecem e se multiplica novamente. O que pode ser feito para combater este tipo de malware, é utilizar ferramentas stand-alone especificas para malwares. Não aconselho que utilizem deste tipo de ferramenta sem orientação de algum analista.

 

 

Para quem esta infectado, ou melhor para quem acessa o iMasters usando fiefox um alerta limpem sua pasta temp sempre que finalizar a navegação. E o uso do Noscript é necessário para evitar a contaminação pois mesmo negando a instalação o auto-infect consegue penetrar na maquina.

[Elektra 102]

Se compreendi corretamente o paliativo momentâneo é limpar os arquivos temporários, mas mesmo com o uso do NoScript não impede que as máquinas infectadas permaneçam com o malware ativo.

 

Uso 5 navegadores, acesso geralmente o fórum pelo Firefox ou IE8. Vou precisar acionar o CCleaner diariamente.

 

E quanto a "orientação global" de usar o modo invisível para navegação, faz alguma diferença?

 

 

Para remover o malware em definitivo será necessário análise do log e procedimentos recomendados pelo fórum de segurança, ou vai precisar algo mais?

[Silas Martins 0]

Respondendo por partes.

 

Se compreendi corretamente o paliativo momentâneo é limpar os arquivos temporários, mas mesmo com o uso do NoScript não impede que as máquinas infectadas permaneçam com o malware ativo.

Exatamente, mas vale lembrar que quem não foi infectado ainda, com o uso do noscript ficará livre do malware, somente quem já foi infectado que terá uma "pequena dor de cabeça"

 

E quanto a "orientação global" de usar o modo invisível para navegação, faz alguma diferença?

Não sei da onde a administração tirou isso, kkkkkkkkkkkkkkk só pra rir mesmo.

O modo invisível não impede a infecção até porque você não precisa estar logado para receber a visita do auto-infect. Sendo assim quem falou isso não sabe do que ta falando.

Não faz diferença alguma.

 

 

Para remover o malware em definitivo será necessário análise do log e procedimentos recomendados pelo fórum de segurança, ou vai precisar algo mais?

Nesta parte prefiro não entrar em detalhes já que o iMasters tem tantos "experts" eles saberam lidar com isto kkkkkkkkkkkkk

Mas o que lhe digo é que são poucas as chances de um auto-infect aparecer em um log do hijacthis.

[Elektra 102]

Desculpe, me expressei de forma incorreta.

 

Falo do modo "in Private" do navegador, o IE8 traz este recurso.

 

Formatação resolve? Penso que sim.

 

 

E quanto a outros sistemas operacionais, Linux, Mac, estão imunes?

 

 

Não sei se teve oportunidade de observar mensagem semelhante pelo site keepvid.com, já mencionei isso em outros tópicos aqui do fórum. A diferença é a origem e a indicação na página, sem aceitar a instalação é impossível baixar os vídeos.

 

 

Trouxe novamente esta questão à tona para evitar suspresas, ou seja, podemos tomar todos os cuidados quanto ao imasters e enfrentar situação idêntica em outro local.

 

 

Quanto as ferramentas stand-alone que você mencionou, de uso recomendável apenas com orientação de analistas de segurança, onde obter mais informações? Eu não conhecia nem de nome, nunca tive o meu PC infectado, até agora.

 

E isso acontecer logo numa comunidade de desenvolvedores. É uma lástima.