Mailinglist Archive: opensuse (2372 mails)

< Previous Next >
Re: [opensuse] Spyware on my laptop? (hope it's not OT)
  • From: "Ciro Iriarte" <cyruspy@xxxxxxxxx>
  • Date: Sat, 9 Jun 2007 04:38:19 -0400
  • Message-id: <a998a0140706090138o5ee7174kfc332bdae703bc25@xxxxxxxxxxxxxx>
2007/6/9, G T Smith <grahamsmith@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx>:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ciro Iriarte wrote:
> Well, i really don't know what to thing, this laptop has exclusively
> linux (opensuse 10.2) and using firefox from home i get (too) often
> redirected to www.city.ws/notfound.asp while trying to access any page
> (google.com, local forums, etc), it's intermitent. Initially i blamed
> my Linksys WRT54GX4 access point at home, so i bypassed and conected
> the radiomodem directly to my laptop. The problem was still there.
>
> Then i blamed the ISP, maybe they were using some proxy or something
> alike. So, now i take  the laptop to the office and don't longer get
> the city.ws redirection, well, it's not the laptop, BUT trying to
> access a non existant homepage (http://www.glog.ne/ for example) i get
> this:
>
> ---------------
> Microsoft VBScript runtime  error '800a0005'
>
> Invalid procedure call or argument: 'Left'
>
> /includestuff.asp, line 29
> ---------------
>
> This message also appeared at home. Later i blamed firefox or maybe an
> extension with ads or something like that. Trying to access
> www.glog.ne with konqueror still gives me the VBScript error, and
> between my laptop and internet there's only a cisco router.
>
> So, WTF?!, why am i getting a VBScript error on a linux laptop running
> firefox and accessing nonexistant pages?!
>
> Anyone has seen this? or know what is this city.ws thing?
>
> Ciro

VBScript can be encapsulated within MS javascript and has a legitimate
usage within ASP.

Have you checked your DNS and Proxy settings? One possibility is that
you are now being passed to a rogue DNS/Proxy which is directing queries
to a rogue server. There are some exploits in the wild which can changes
these settings though Linux users are not normally vulnerable. BTW If
you access web stuff while root you are leaving yourself a little open
to such attacks. Firefox while better than IE is not perfect.

Test with a non-mozilla based browser like Opera as well.

Clear out cache a disable scripting and see what happens. Have you
acquired any new toolbars/widgets recently?

Who are city.ws? Someone (I think it was Veritas) pulled the stunt of
directing unknown IP enquiries to one of their marketing servers which
caused much irritation a while back. If city.ws are your ISP ask questions?

(If your home modem is on defaults there is a known exploit which can
change the DNS setting of your home modem if your admin password is the
manufacturers default).


I'm kind of lost, the DNS are ok here (internal) and at home (provided
by the ISP), double checked that.... Already tried konqueror. Tried
the tcptraceroute/traceroute comparison as suggested, and there's no
variation in the hops, so i think that implies there's no proxy...

About  the toolbar, there's nothing knew, the addons are Bugmenot,
forecastfox, flashgot, mediawrap (disabled) and mplayerplug-in.

Ciro
--
To unsubscribe, e-mail: opensuse+unsubscribe@xxxxxxxxxxxx
For additional commands, e-mail: opensuse+help@xxxxxxxxxxxx

< Previous Next >
References