Felnyomott Feliratok.hu * Frissítve

2009. április 23. 11:25 - Csizmazia Darab István [Rambo]

Korábban is említettük, hogy szinte bármilyen weboldalt meg lehet fertőzni, de ha valaki célzottan szeretne nagy kárt okozni, keresve sem találhatna jobbat a feliratok.hu lapnál egy kártékony IFRAME exploit beágyazására: főleg fiatalok látogatják, akik közül sokan még nem annyira veszik komolyan a számítógépes biztonságot.

Tavaly ősszel már volt hasonló IFRAME-s mizéria a Roxy rádió honlapján, ahol szintén kártevő terjesztésre használtak fel egy beágyazott IFRAME blokkot. Mivel még mindig sokan Internet Explorereznek, használnak hmm-kmm kétes eredetű Windowst (amit ugye nem frissítenek), és sokan még mindig egyáltalán nem használnak biztonsági programokat sem (há' a windows tűzfala mié' nem teljesen jó?), és persze noch dazu a Roxy is főleg a kevésbbé paranoiás fiatalok érdeklődésére tarthat számot. Feltételezhetjük, hogy nem csak a topicnyitó faragott rá (mi egyébiránt nem használunk ilyen közönséges, vulgáris és alpári szalonképtelen szakkifejezéseket mint "megszívta", és hasonlók ;-). Az is egy érdekes közjáték, hogy a HUP Drupalos topikjába akkoriban ohne zsineg be lehetett szúrni egy ilyen még aktív kártevőre mutató Iframes sort, szűrés vagy formai átalakítás nélkül. (Inputellenőrzés, inputellenőrzés, inputellenőrzés - mondotta Lenin ;-)

További apró érdekesség még, hogy miután a napokban megújult a www.roxy.hu, az új weboldalra (www.roxy.hu/website) történő átírányítást eleinte még egy IFRAME tag végezte, de szerencsére vagy rájöttek maguktól, hogy ez nem túl praktikus, vagy elegen figyelmeztették őket rá; esetleg tanultak a múltból és saját kárukon - lényeg a lényeg, ma már ezt az átirányítást látjuk:

<html> <head> <title></title> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2"> <meta http-equiv="refresh" content="0;url=http://www.roxy.hu/website"> </head> <body> </body> </html>

 

Ennyit a múltról, következzen a határtalan jelen, amikor is a feliratok.hu oldalról induló mirrorok kerültek sorra távoli testvéreinknél, ami miatt az innen nyíló lapok HTML kódjában ilyesmit láthatunk:


Nem látszik túl bizalomgerjesztőnek, még ha kajában esetleg szeretjük is a kínait, a titkon beágyazott Iframe-ben bizton utáljuk. Ha olyan Windows alatti gépről nézegetjük, amin az ESET Smart Security 4.0 fut, szerencsére az ilyen szokatlan beágyazásra üzemszerűen jelent:

Továbbá ha rendes ;-) webböngészőt használunk, több forrásból is kaphatunk figyelmeztetést, íme az egyik.

A bűnös weboldal egy kínában Legjobb Rajmund által bejegyzett, de Litván szerveren működtetett valami. Talán lassúak voltunk - éjjel háromkor jött a riasztás, és reggel hétkor már rajta voltunk az ügyön - de ma reggelre letölthető kártevőt már (sajnos - hál' Istennek, a nem kivánt törlendő) nem sikerült fognunk ;-) Persze azért látható, minden az eredetileg beszúrt litecartop.cn oldal továbbirányításán múlik, ami időről időre változóan máshova irányíthat, esetleg figyelheti és naplózhatja az IP-ket, és mindig máshova küldhet, stb.

A tanulság talán annyi lehet, hogy egyrészt az "óvatosság nem bizalmatlanság", valamint az "én itten kérem csak megbízható webhelyeket látogatok, ezért nem is eshet semmi bajom tisztelt Bíróság, zblorghhh" szlogen újfent eredményesen cáfolva, Myth Busted! 

* * * FRISSÍTÉS * * *

Közben Windowsos kollégánk sikeresen blokkolt NOD32-vel egy LOAD.EXE nevű vadállatot, amelyet a karanténból előbányászva az alábbi képet mutatja a VirusTotalon:

22 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr791081465

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

raly 2009.04.23. 13:18:16

nekem még most, csüt. délután is beriaszt a Nod feliratok subs és a felirat.it.cx/ linkekre kattintva. Eleve sajnálatos, hogy ez a top-top szolgáltatás ilyen szürkezónás módon üzemel. Állami támogatást a feliratok.hu -nak!!!

raly 2009.04.23. 13:24:25

@Gugli666: valóban, és ahogy mondják, a mirror.donsystem.hu/ működik, csak csúnya

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.04.23. 13:24:39

Érdekes, hogy már tegnap este óta jelzik az ottani juzerek, és nem történik semmi :-O
sgforum.hu/listazas.php3?azonosito=SuperSubtitles&id=1009631225

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.04.23. 13:25:41

Hehe, Gugli666 Overdosi orrhosszal előbb találta meg :-)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.04.23. 13:31:44

Szia Raly :-)

Van alapja amit mondasz, a sok önkéntes ingyenes munkáját meg egyesek durván lenyúlják:
index.hu/kultur/2009/03/30/ismeros_sorok/

Egyébként és is néztem pár részt a 24 órából, és annyira megtetszett, hogy később megvettem. Az volt aztán a nagy megdöbbenés, amikor a boltból hivatlosan vásárolt feliratnál J és LY tévesztések tömkelege röfög kifelé :-O Lehet találgatni, hogy ezt is honnan lopták ;-)

nanehogymá 2009.04.23. 14:16:45

Antivir detektálja? Nem merem megnyitni! :)

nanehogymá 2009.04.23. 14:25:57

ja, most nézem, ez hülye kérdés volt, hiszen ez a weboldal a NOD32-t tolja reklámban

Vargnatt 2009.04.23. 14:41:26

Azért félelmetes, hogy azt a kártevőt 40-ből csak 4 program ismeri fel... Nem is tudtam, hogy a Microsoft védelmi programja ilyen jó (a Virus Totalon ez most melyik programjuk amúgy, a Malicious Software Removal Tool, vagy a Windows Defender, esetleg valami más?)

grizzancs 2009.04.23. 15:49:38

naes magatol feltelepiti a virust a bongeszo, mi ? hol elunk, 98ban?

edző bá 2009.04.23. 15:54:21

hellaz

friss avast is jelzi

btw. a cucc úgy terjed (sajnos ügyfelünknél is előfordult), hogy nem közvetlenül a weboldalt törik fel, hanem előzőleg egy kliens gép fertőződik meg egy spyware-rel, majd ha a fertőzött gépről ftp-n keresztül belépnek szerverekre, akkor az ott található php, html, stb állományokba véletlenszerűen beíródik ez az iframe.

a domain sok esetben más (pl. lotmachines.cn, stb), illetve nem csak a fájl végére appendálja, hanem például a body tag mögé közvetlenül.

na, csak gondoltam érdekes lehet. üdv.

Kixx 2009.04.23. 17:08:33

Mondanám, hogy a beágyazott javascript-be és a .js-ekbe is beírja magát.

Elég brutál...

dark future · http://www.andocsek.hu 2009.04.23. 18:11:59

@edző bá:

Ja. A Total Commander kódolatlan (ill. csak gyengén kódolt) ftp-jelszavait lopják le, tehát még csak be sem kell ftp-zni sehová.
Az új (7.5) TC-ben már normális titkosítással lesznek letéve a jelszavak.

MILCSI 2009.04.23. 18:23:05

Nem kattintottam semmire,csak a képeket nézegettem,mint gyerekkoromban a meséskönyvben,mert egy huncut szót sem értettem a félig-meddig szakmai szövegből...de a humorod továbbra is magával ragadó :-)))
Az analfabétaságom védelmében elmondom,hogy véletlen sem szoktam ilyen helyeken kóborolni...

gabest1 2009.04.23. 18:50:59

mi kell nézni? van rajta egy pdf és egy swf, meg valamit installálni akar, jó lenne több konkrétum, a user és a víruskeresője közti interakción kívül másról nem szól a czikk, pedig az ördög a részletekben...

lifelike 2009.04.23. 19:02:28

a felirat.hu egy bena oldal
10 eve is ciki volt mar az egesz ahogy kinez meg ahogy mukodik
most se jobb

P. A. 2009.04.23. 19:38:50

Csak a mirror.donsystem.hu/old/ mirror fertőzött, a többi mirrorral nincs semmi baj. Használjátok /old végződés nélkül, vagy ha nem tetszik a design, itt egy másik mirror: supersub.freesitespace.net

Pszt! 2009.04.23. 20:08:08

Az Avast kiszúrta nekem is tegnap, figyelmeztetett, és leállította a kártékony kód letöltését.


@lifelike: Nem is arról volt szó, hanem a feliratok.hu -ról. Egyébként ott nem a kinézet a lényeg, a működésével nem tudom mi a bajod.

undertow 2009.04.23. 22:33:04

@Kixx:
*index*.*
*main*.*
*default*.*
ezeket szereti. tudom, két hete én is pucoltam az egyik adminisztrált domainről :)
ez egyébként a szelídebb verzió, van javascriptes obfuscated testvére is. azt egy fokkal nehezebb automatizálva kipucolni...

dojle · http://blog.webpozitiv.hu 2009.04.24. 12:35:18

amúgy itt van egy teljes leírás a hogyanokról, megelőzésről és javításról:
blog.webpozitiv.hu/bejelentett-tamado-webhely-mit-tegyek/

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.04.26. 21:41:20

@Edző bá:
Köszi szépen a részleteket.

@Dojle:
Wow, klassz, korrekt és alapos munka, köszönöm. (y)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.05.15. 09:51:00

Van még itt egy olyan mellékkörülmény, hogy csak a 7.5 Total Commanderben oldották meg azt, hogy az FTP kapcsolatok jelszavait kódolva tárolja. Emiatt a korábbi változatok támadhatóak voltak, érdemes tehát egyrészt a 7.5 betara frissíteni, és a használt FTP jelszavakat pedig hirtelen felindulásból jól lecserélni.