27 popularnych stron zainfekowanych złośliwym kodem z Rosji

Specjaliści firmy CORE dystrybutora oprogramowania antywirusowego AVG Technologies zdemaskowali infekcję 27 stron skryptem - Cross Site Scripting (persistent XSS). Jedną z ofiar infekcji padł popularny polski serwis finansowy.

27 popularnych stron zainfekowanych złośliwym kodem z Rosji
SKOMENTUJ

„Wspólnie ze specjalistami AVG Technologies analizujemy wykryty przez nas przypadek zainfekowania popularnych witryn złośliwym kodem”. – pisze na blogu technicznym AVG (http://techblog.avg.pl/) , Arkadiusz Zakrzewski specjalista pomocy technicznej AVG.pl – „Na ten moment trudno podać więcej szczegółów z czym dokładnie mamy do czynienia i jakie zagrożenie oraz jakie dokładnie typy exploitów mogły zostać pobrane i zainstalowane. Wiemy na pewno, że infekcja polega na doklejeniu do każdego z pliku strony internetowej złośliwego kodu – skryptu, w tym przypadku szyfrowany JavaScript.”

Do każdego z plików zaatakowanej polskiej witryny, w treść źródła strony został doklejony szkodliwy kod w postaci skryptu JavaScript. Działanie skryptu opiera się na wykonaniu przekierowania w tle do strony (adres zmodyfikowany)

http://dirty**.ru:8##0/google.com/booking.com/huffingtonpost.com.p

po pomyślnym ustanowieniu połączenia z tą stroną wywoływany jest prosty skrypt php, który uruchamia pobieranie exploita do naszego systemu Windows.

Obraz
© (fot. Jupiterimages)

Wykrycie infekcji
Infekcja została w pierwszej kolejności wykryta przez jeden z modułów AVG –. LinkScanner. Zadaniem składnika LinkScanner jest między innymi śledzenie ukrytych przekierowań z witryny i tą właśnie metodą składnik podniósł alarm wyłapując próbę przekierownia użytkownika na wspomniany wcześniej adres. Składnik LinkScanner czuwa w przeglądarkach Internet Explorer, FireFox oraz Opera.

W chwili obecnej witryna docelowa została zablokowana i nie jest dostępna w przeglądarce Mozilli. Czekamy na potwierdzenie z Opera Software o dodaniu wyjątku dla ich przeglądarki. Niestety użytkownicy Internet Explorera nie mogą zostać objęci wyjątkiem – IE takiej możliwości nie oferuje.

Jak dodaje Arkadiusz Zakrzewski –. „Wśród 27 zainfekowanych stron znalazły się takie witryny jak: silkroadmax.org, wepportal.com, watch-family-guy-episodes.org, mamy też jeden przypadek polskiego serwisu finansowego.”

Serwer, do którego kieruje przekierowanie,według raportu Bota Google zawiera 50 script exploitów, 40 trojanów, 24 exploity. Dogłębna analiza serwera jeśli nie zostanie całkowicie odcięty od sieci potrwa kilka dni . Wstępnie możemy potwierdzić, że pierwsze z namierzonych exploitów są wykrywane przez AVG pod nazwą Known.Exploit.Type750.

Wybrane dla Ciebie

Miał lecieć na Izrael. Dron dopadł wyrzutnię w ostatniej chwili
Miał lecieć na Izrael. Dron dopadł wyrzutnię w ostatniej chwili
"Samolot dnia zagłady" w Waszyngtonie. To latający Pentagon
"Samolot dnia zagłady" w Waszyngtonie. To latający Pentagon
Iran kontra Izrael i USA. W takim stanie może być potencjał Teheranu
Iran kontra Izrael i USA. W takim stanie może być potencjał Teheranu
USA zaatakowały Iran. Użyły najpotężniejszych bomb penetrujących na świecie
USA zaatakowały Iran. Użyły najpotężniejszych bomb penetrujących na świecie
AH-64E Guardian dla Polski. Pentagon wycofuje starsze śmigłowce
AH-64E Guardian dla Polski. Pentagon wycofuje starsze śmigłowce
Planują podwojenie jego produkcji. To europejski strażnik nieba
Planują podwojenie jego produkcji. To europejski strażnik nieba
Mnóstwo samolotów USAF u Saudów. Zdjęcia satelitarne pokazują prawdę
Mnóstwo samolotów USAF u Saudów. Zdjęcia satelitarne pokazują prawdę
Pancerny szturm Rosjan pod Konstatynówką. Dawno takiego nie było
Pancerny szturm Rosjan pod Konstatynówką. Dawno takiego nie było
Irański kasetowy pocisk balistyczny. Oto co znaleziono w Izraelu
Irański kasetowy pocisk balistyczny. Oto co znaleziono w Izraelu
Rośnie produkcja rosyjskich czołgów. Więcej T-90M niż na początku wojny
Rośnie produkcja rosyjskich czołgów. Więcej T-90M niż na początku wojny
British Army chce wzmocnić artylerię rakietową. Na horyzoncie kolejne M270
British Army chce wzmocnić artylerię rakietową. Na horyzoncie kolejne M270
Nowa era nauki o Słońcu. Wszystko zawdzięczamy sondzie Solar Orbiter
Nowa era nauki o Słońcu. Wszystko zawdzięczamy sondzie Solar Orbiter