Ön elkészíti, mi kiegészítjük

2008. július 29. 12:51 - Csizmazia Darab István [Rambo]

Nem pontosan az Önök kérték, mi teljesítjük mintájára ugyan, de felfutóban a nagylátogatottságú weboldalak extra landing page-dzsel való kiegészítésének divatja - persze mindezt a tulajdonos tudta nélkül, Önök _NEM_ kérték jeligére ;-)

A munkát persze nem irgalmas szamaritánusok végzik, hanem a kártevőterjesztők olajozottan működő hálózata. A levelek témáját szinte biztosan egy hatalmas adatbázisból tombolázzák ki, most éppen a Nők a pult mögött analógiájára Az első nő, aki a NFL foci ligába verekedte magát címmel érkezik. A női nem tisztelete ide, női egyenjogúság oda, erre a hírre itt Európában érezhetően kevesebb az érdeklődés.

Eddig mindennapos a történet, látjuk a kamu flashkodek letöltő oldalt, bedobjuk a fájlt a VirusTotalba - a már unalomig ismert rutinmunka - gondolhatnánk. Ahhoz is hozzászokhattunk, hogy egy Storm kódot letöltő oldal általában mindössze egyetlen HTML fájlból áll, amiben a kártékony link szerepel, és a letöltést biztosítja. De...

Ha kitöröljük a mostani weboldal domainje mögül a "checkit.html"-t és a főoldalt nézzük meg, igazi működő, ékes portugál nyelven készült brazil üzleti weboldalt látunk, ez most éppen egy online oktatással foglalkozó cégé. Igen valószínű, hogy halvány segédfogalmuk sincs, hogy mire használják fel a cégük domainjét. Ha nagyon kíváncsiak vagyunk rá, a Google Translate segítségével angolul is ránézhetünk.

További izgalmas körülmény, hogy mivel esetünkben már el is mozdították vagy elköltöztették az EXE-t, így a valódi elemzést ezúttal lekéstük. A get_flash_update.exe állomány helyett ugyanis csak egy HTML tartalom tölthető le, amiben jelzik, a kért tartalom már nem áll rendelkezésre az IIS szerveren. De nézzük meg, hogy ez a belül HTML, EXE fájkiterjesztéssel rendelkező sima szövegállomány mit mutat a VirusTotalon.

 

Hüphüphüp, Barba trükk: a Prevx - szerencsére egyedül - a sima HTML kódra jelzi, hogy szerinte ez egy kártékony szoftver! Az eseten felvillanyozódva gyorsan összeütünk egy Hello World!-ot kiíró HTML kódot, és ezt EXE-nek átnevezve megvizsgáljuk, de arra már nem jön a riadó.

 

Szóval a lényeg, hogy nem csak magánemberek gépei, nem csak a bothálózat fertőzött géptagjai, hanem minden valamiképp megfertőzhető oldal veszélyben lehet. Érdemes ezért rendszeresen ránézni saját vagy céges webhelyünk statisztikájára, és ha a nézettséget esetleg egy olyan aloldal vezeti, amit nem is mi készítettünk, akkor máris kezdhetjük a nagytakarítást.

2 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr99590733

Trackbackek, pingbackek:

Trackback: Propeller 2008.07.29. 13:52:38

Antivírus blog - Ön elkészíti, mi kiegészítjükFelfutóban a nagylátogatottságú weboldalak illegális, extra landing page-dzsel való kiegészítésének divatja

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Erőforrás 2008.07.29. 16:53:35

Szia Rambo!

Live Messengernél, a fájl átvitel opciónál, a No32 melyik modulját kell beállítani? Tudod, amikor kapok egy fájlt és automatikusan át szeretném vizsgáltatni? Az EGUI nem csinál semmit.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.07.31. 20:24:07

Szia!
Szerintem ez segíthet neked:
www.eset.eu/knowledge-base/how-to-configure-windows-live-messenger-to-scan-incoming-files
Ha mégsem menne így, a support KUKAC sicontact PONT hu címre írjál, és ott biztosan megoldják a problémát.