Antivírus blog

vírusok, férgek, botnetek, kártevők

Drive-by download közelről

2007. október 24. 19:06 - Csizmazia Darab István [Rambo]

Nagy forgalmú és biztonságosnak vélt portálok, hirdetési oldalak éppúgy veszélyben vannak, akárcsak az alacsonyabb látogatottságú weblapok: egyszercsak valaki észrevétlenül belehackel egy JavaScript kódot. Jó ha nem Internet Explorert használunk, de korántsem jelenti azt, hogy egy Operával vagy Firefox-szal máris megnyugodva hanyattdőlhetünk a fotelünkben. Nem csak emiatt a Drive-by download kód miatt, hanem egyébként is erősen ajánlott a böngészőbeli "biztonsági rendszerváltást" mielőbb megtenni.



Mi érkezhet így hivatlanul? Bármi. Spyware, Adware és egyéb kártevők. Ha megnézzük a cikkbeli első példát, és a Googleban rákeresünk az érdemi script elejére 'ext:html "60!105!102!114!97!"', hamar kapunk olyan találatot, amiben a teljes kód szerepel. Mi lehet ez valójában? Nézzünk bele!



Nosza, egy kis pofozgatás után felveszi a VírusHíradós cikk képernyőjén levő kinézetet, már csak a ", " stringet kell "!" jelekre cserélni. Most, hogy megvan a teljes kód, elmentjük egy helyi mappába akármi.html néven, és akár már indíthatnánk is a böngészőt, hogy kipróbáljuk. Viszont van egy nagy gond: a JavaScriptes Document.Write azonnal kiírja és végre is hajtódik a kártékony kód. Ez így nem lenne túl szerencsés!



Mi most csak vizsgálni akarjuk a dolgokat, mit tegyünk hát, hogy csak lássuk, mire megy itt a játék a while ciklusban, de ne kapjunk be rögtön valamit? Cseréljük ki a "document.write(out)" részt "alert(out)" paranccsal. Ez ugye egy tetszőleges szöveget jelenít meg a üzenet boxban. Vagyis a kód nem lefut (pontosan ezt akarjuk), hanem csak a változó tartalma jelenik meg már kikódolva. Tadaaaaam, itt a csúnya Iframe!



Egy <IFRAME...> URL hivatkozást látunk, amely anélkül fut le, hogy azt bárki észrevenné. Nem kell zseninek lenni hozzá, hogy azt gyanítsuk, ez nekünk nem szerencsés. És akkor lássuk a mostani linket, ez a www.cracklab.info. Lehet megtenni a fogadásokat tétre, helyre, befutóra, vajon milyen országban hosztolták az oldalt? Akik zsetonjaikat Oroszországra tették, azok nyertek. Szerencsére azt látjuk, az említett oldal már üzemen kívül lett helyezve, lekapcsolták. Persze ilyen kártékony kódok még ezerszám találhatóak. A módszert talán nem is meglepő, hogy sok esetben például warez oldalakon is használják.



Jó, ha az antivírus és tűzfal program mellett van kéznél kémirtó is - az ingyenes és jól használható kategóriában az Adaware, a Spybot Search & Destroy, és a Spyware Terminator is jó szívvel ajánlható. Nem butaság a használt operációs rendszer és a használt alkalmazói programok frissítéseinek naprakészen tartása. Ehhez jó segítség lehet a Secunia Inspector, a Microsoft Baseline Security Analyzer, vagy akár a Sunbelt Network Security Inspector. Az említett eszközök hatásosan és alaposan feltárják a gyenge, elavult komponenseket, és a frissítéshez is konkrét linkkel, útmutatóval szolgálnak. Az alternatív böngészőhez a Finjan Secure Browsing, a NoScript, a Netcraft Toolbar, Crawler Toolbar és a RobotGenius Guard pluginek lehetnek hasznosak. Az én kedvencem, hogy a NoScript alapból tilt mindent, és csak azon az oldalon, ahol én akarom, és csak azok a scriptek, amit én akarok, kapnak lehetőséget a futásra. Elismerem, ez néha kényelmetlen, macerás, ha valami nem működik, nem jelenik meg egyből az űrlap, engedélyezni kell, de hát valamit valamiért. Különben is tetszik az elv, csak az fusson, amit én engedélyezek. A fordítottja egy nagy zsákutca.

Nem lehet elégszer leírni, hogy ne kattintsunk bármire ész nélkül, ezt Didier Stevens híres kísérlete is igazolta. "Az Ön gépe vírusmentes? Kattintson ide ingyenes fertőzésért!" szövegű hirdetést hozta létre és naplózta a kattintásokat. Hogy Kournikovára miért kiváncsi valaki, azt még valahogy el tudjuk képzelni, de mi járhat annak a fejében, aki ingyen fertőzést szeretne?



Azt hiszem, idebiggyeszthetünk egy jó kis idezétet a tárgykörből, nevezetesen a Rambo II. című filmből. Murdock tábornok a bevetés előtt éppen a technikát isteníti: "Tökéletesen nyugodt lehet Rambo, a világ legtökéletesebb fegyverei állnak a rendelkezésünkre", mire hősünk "Én úgy tanultam, hogy az ész a legjobb fegyver". Mitagadás, a technika lenézése nélkül mi is osztjuk e nézetet...
Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr31206309

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.