Ez a számláló a poszt nézettségét mutatja. Mindenképp olvasd el ezt a posztot a részletekért.

tipz

adz

rambo archiv

naptár

augusztus 2014
Hét Ked Sze Csü Pén Szo Vas
<<  <
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

labelz

adathalász (24) adathalászat (35) adatok (86) android (50) antivírus (36) antivirus (34) apple (25) átverés (50) bank (28) biztonság (62) botnet (63) csalás (115) eset (124) exploit (40) facebook (105) felmérés (24) féreg (23) frissítés (34) google (38) hamis (92) havi (72) jelszó (44) kártevő (121) kémprogram (29) kéretlen (31) macintosh (29) magyar (45) malware (35) microsoft (23) nod32 (111) phishing (26) security (29) spam (132) statisztika (37) threatsense (70) trójai (104) twitter (23) vírus (24) vírusstatisztika (76) windows (28) Címkék ömlesztve

tweetz




commentz

about

A Vírusok Varázslatos Világa, azaz érdekességek, esetek, hírek, részletek, képek, vélemények a hazai és külföldi vírustámadásokról, számítógépeink biztonságáról.



Csizmazia István [Rambo], vírusvédelmi tanácsadó
Sicontact Kft., a NOD32 antivírus magyarországi képviselete.
Töltse le a vírusirtó próbaverzióját!

Zerosecurity - ezúttal szó szerint

2012.03.28. 13:00 | Csizmazia István [Rambo] | Szólj hozzá!

Címkék: download javascript wordpress by drive eset zerosecurity viruslabor obfuscation

Rájár a rúd mostanában a WordPress CMS-t használókra. A frissítetlen rendszerek kártevőket terjesztenek, de a becsapós pluginek mellett ezenkívül még a drive by download típusú támadások melegágyai lehetnek. A látogató böngészője pedig egy összezagyvált kinézetű JavaScript kód miatt észrevétlenül jól át lesz irányítva kártékony weboldalakra.

A "Cherchez la femme" mintájára itt nem nőt, hanem láthatatlan Iframe elemet kell keresni, az ilyen típusú fertőzések voltak talán a leggyakoribbak a mi januári, valamint a februári toplistánkban is. Ezt a drive-by-download dolgot úgy lehet elképzelni, hogy ha egy weboldalt sikerül megfertőzni, egy láthatatlan szkriptet belerejteni, akkor a látogatók böngészője titokban nem csak az eredeti weboldalt keresi fel, hanem egy átirányítás segítségével egy másik, általában kártevőt tartalmazó másikat is.

A beszúrt kód kinézetre persze nem mond semmit, azt az úgynevezett obfuscation, azaz kódösszezavarás segítségével úgy preparálják a bűnözők, hogy ne, vagy minél nehezebben lehessen a célját, a benne elrejtett valódi URL-t kiolvasni. Az alábbi képeken a zerosecurity.org Wordpress alapú oldalában talált kód eredeti összezavart majd a visszafejtett állapota látható. A böngésző természetesen nem igényli az olvashatóságot, ő így is, úgy is érti és végrehajtja, nekünk felhasználóknak fontos az, hogy láthassuk, hova is irányították át stikában, ami jelen esetben egy .tf, vagyis French Southern Territories nevű terület alá tartozó domain.

A fentiek egyrészt azt is bizonyítják, jelentősebb, ismertebb, nevesebb, sőt akár IT biztonsággal foglalkozó témájú oldalak is célkeresztben lehetnek, de másrészt ami még ennél is meglepőbb lehet sokaknak, hogy akár HTML alapú sima levélben is kaphatunk ilyet.

Megint csak az ESET laboratóriumából származik a következő email, melyben ugyanilyen JavaScriptet azonosítottak. A gyanútlan címzett csak annyit lát, hogy "Loading, Please wait...", azaz türelem, mindjárt töltődik az a valami, de ez csak vetítés, közben a háttérben történnek a valódi dolgok. Gyakorlatilag ez azt jelenti, hogy nem csak internetes böngészés közben, hanem akár spamben is kaphatunk ilyen láthatatlan átirányítást tartalmazó kártékony kódot.

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr664345572

Kommentek:

A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben.

Nincsenek hozzászólások.