Fertőzött volt Paris Hilton weboldala

2009. január 13. 18:25 - Csizmazia Darab István [Rambo]

Az dolog ahhoz a korábbi esethez hasonlított, mikor az amerikai baseball és hoki liga weboldalát fertőző bannerhirdetésekkel támadták meg. Ennek hatására a gyanútlan látogatók gépeit kártevők árasztották el.

Paris Hilton weboldala, a www.parishilton.com január 9-én szenvedett támadást. Mint azt a ScanSafe kutatói észlelték, a weboldal kódjába ismeretlenek olyan IFRAME taget ágyaztak be, amely a you69tube.com pornó oldalon elhelyezett kártevőre mutatott. Ez letöltött egy olyan preparált PDF állományt, ami aztán egy exploit kihasználásával igyekezett megfertőzni a számítógépeket.

A kártevő igyekszik további kártékony komponenseket is letölteni egy felbukkanó popup ablakon keresztül, függetlenül attól, hogy az OK vagy a CANCEL gombra kattintunk-e. Tapasztalatok szerint ilyenkor csak a CTRL + ALT + DEL billentyű kombináció segíthet, ki kell lőni a feladatkezelőben a böngészőt. A szakértők még nem azonosították be, hogy pontosan mely sebezhetőség kihasználásával operál, állítólag ez egy már novemberben befoltozott hiba, de ezt a hírt nem erősítették meg. Mary Landesman, vezető biztonsági kutató szerint 38 antivírusprogramból egyelőre mindössze csak 7 észleli.

Beigazolódni látszik az a jóslat, amely a böngészés során terjedő fertőzések jelentős emelkedését prognosztizálta. Valószínű, hogy a híresség weboldala rajongók és a fiatalok körében nagy népszerűségnek örvend, ezért jelentős számú látogatót vonzó célpontnak gondolták a támadók.

11 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

2009.01.13. 20:12:17

Szép munka. Természetesen sokszoros idézőjelbe téve. A továbbiakban én is nagyon is el tudom képzelni, hogy az "ovis", klasszikus deface-ek helyett inkább észrevehetetlenül ilyesmit ágyaznak be az oldal kódjába. Lesz ebből még fejfájás bőségesen.

gothmog 2009.01.13. 20:33:19

NoScript továbbra is a barátunk.

mnmnbkhj 2009.01.13. 20:35:56

Pornó meg a kate perry? nem áll mesze egymástól :)

agyvihar · http://agyvihar.blog.hu/ 2009.01.13. 21:15:14

Operával biztonságban érzem magam. 1% alatti böngészők támadásával csak nem bajlódnak. :D

Bambano 2009.01.13. 22:22:56

Számítógépeket??? Milyen számítógépeket?

WUT (törölt) 2009.01.13. 22:56:13

hol van kate perry-s pornó??

:DD

on.

tisztelt Csizmazia Úr!

olyan miért történhet, hogy a gépem (Win XP oprendszer van rajta) hirtelen azt jelzi , mintha egy pendrive-ot csatlakoztattam volna usb-n, új hardver stb de közben nem?! és rövidesen eltűnik az egér kurzora! nem tudom használni az egeret!

eddig kétszer fordult elő az elmúlt 1 hétben, először Ctrl + Alt + Del-lel, feladatkezelővel elkezdtem kikapcsolgatni a futó programokat, és sikerült valahogy visszahozni az egeret, de második alkalommal már manuálisan (a Power gomb 5 mp-ig lenyomva tartásával) ki kellett kapcsolnom a gépet, mert nem tudtam mást csinálni! A feladatkezelő is használhatatlan volt.

Ez most szombaton volt, azóta folyamatosan használom a gépet, és semmi gond nincsen.

hozzá kell tennem, használok NoScriptet, legutóbbi Spybot-keresés 2 hónap után nem talált semmilyen kártevőt (ez még az eset előtt volt, azóta nem scanneltem), használok vírusirtót, Gmailen levelezek, semmilyen spam-gyanús dolgot nem nyitok meg, pornóoldalakra nem megyek stb., nem értek az internet-biztonsághoz, de valamennyire "felvilágosultnak" tartom magam, és legalább próbálom a biztonságos utat járni.. de ilyennel még soha nem találkoztam. Ez lehet kártevő?

Hozzá kell tennem, hogy amikor ez történt, egyszerre ment a zene, a torrent kliens, az excel, a firefox legalább 10 ablakkal, köztük a honlapom admin-felületével és egy online deviza-kereskedő szoftver felületével, + Word + Adobe Reader is megvoltak nyitva.

Előre is köszönöm, ha valaki tud adni tanácsot ebben.

r@ek (törölt) 2009.01.14. 16:41:52

Ismet egy roppant izgalmas post..
Ennel mar csak a kekestetoi deface volt erdektelenebb. Azert egy szint ala csak nem kene mar lemenni..

Skiddie vadasz! :-D

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.01.14. 21:17:50

@Fiveeeee:
Sajnálom, ha nem tecc.

@WUT:
Szerintem is jó ötlet Hun.Spb felvetése, ha valóban USB-s egeret használsz. Egy egér driver ellenőrzés mellett ha a teljes, full opciós vírusellenőrzés nem talál semmit és nem történik semmi további furcsaság, akkor lehet, hogy nem is fertőzés. Lehet még további progikkal is próbálkozni, nekem volt hogy a Spyware Terminator megtalált olyat, amit a S&D nem. Aztán ott vannak még online scannerek is (az ESET-nek is van ilyenje: www.eset.hu/viruslabor/onlineellenorzes ), ezeket is rá lehet kergetni a gépre, ha biztosra akarsz menni.

WUT (törölt) 2009.01.16. 13:30:37

köszönöm a választ!

az egér egyébként nem usb-s, csak amikor ez a dolog történt, az egér megszűnt működni! a feladatkezelő nyomogatásán kívül tehetetlen voltam. de remélem, nem fordul elő többet, nekiállok vadul scannelni :)

tetszik a blog, a NoScript nevű progit is az egyik cikk alapján kezdtem használni, azóta nagyságrendekkel csökkent a kártevők száma :)
süti beállítások módosítása