wmz 25 дек 2008 в 14:17

Вирус, маскирующийся под Google Analytics, поражает Firefox и Opera

2 мин

6.9K

Информационная безопасность*

+39

Комментарии 56

rill 25 дек 2008 в 14:26

Сначала прочитал «поражает Firefox и Opera» со смыслом «удивляет Firefox и Opera». Думал где-то минуту))

wmz 25 дек 2008 в 14:31

Если бы Firefox или Opera могли удивляться, они бы сильно удивились после посещения подобного сайта :)

mikeAbasov 25 дек 2008 в 16:14

Гугл, маскирующийся под вирус – вот это действительно поразительно :)

Luda 27 дек 2008 в 08:07

Бык удивил белую корову :)

time2die 25 дек 2008 в 14:32

вы забыли указать поражающубся ОС ;-)

НЛО прилетело и опубликовало эту надпись здесь

wmz 25 дек 2008 в 14:51

Exe-файл отдается браузеру Opera вот по этой ссылке: _http://www.telexexchange.net/psy/load.php_

Greignar 25 дек 2008 в 15:52

Опера спросила, сохранить/запустить файл load.exe или нет — это нормальное поведение встроенной качалки. Мне казалось, что вирус на уязвимом браузере должен самостоятельно и незаметно запускаться, а не спрашивать подтверждения пользователя.

wmz 25 дек 2008 в 16:11

Меня попросили распотрошить JS и дать прямую ссылку на exe-файл, что я и сделал. Чтобы вирус запускался самостоятельно и незаметно — надо запускать его в JS-обвязке.

Greignar 25 дек 2008 в 16:20

У меня все включено (js), но вирус самостоятельно не запускается! В чем уязвимость Оперы???

Если для создания этой уязвимости нужно очень хитрым образом настроить браузер, то уязвимость скорее всего кроется в голове…

НЛО прилетело и опубликовало эту надпись здесь

Greignar 27 дек 2008 в 03:56

да

ssve 25 дек 2008 в 17:47

Каспер видит трояна

НЛО прилетело и опубликовало эту надпись здесь

AstonMartin 26 дек 2008 в 00:21

наверное я все-таки его куплю ;))

wmz 25 дек 2008 в 14:56

FF 3.0.5 ─ после отключения проверки безопасности можно увидеть исходный код. В браузере ─ белый экран, поскольку там присутствует только JS-код, и больше ничего.
Видимо, вирус определяет даже версию браузера.

wmz 25 дек 2008 в 15:07

wmz 25 дек 2008 в 15:08

wmz 25 дек 2008 в 15:15

НЛО прилетело и опубликовало эту надпись здесь

burzilov 25 дек 2008 в 17:54

Видимо, всё-таки подхватил заразу :)

SidexQX 25 дек 2008 в 20:45

хабровирус? =)

vilgeforce 25 дек 2008 в 14:57

Для посещения и исследования такого рода заразы есть malzilla. Последнюю версию еще не щупал, но говорят, рулез немеряный :-)

bogus92 25 дек 2008 в 15:29

Таким образом, на сегодняшний день даже использование правильных браузеров не решает проблему с вирусами
Зато проблему решает использование правильной ОС :).

korynd 25 дек 2008 в 22:00

Пока, может, и решает. А потом научатся подсовывать нужные бинарники и делать свое черное дело.

Saenco 25 дек 2008 в 15:45

Блин, в links ничего не работает ((

Cancel 25 дек 2008 в 15:49

telexexchange.net/psy отдаёт пустую страницу.

opera 10 / debian

dparfyonov 25 дек 2008 в 17:08

Вы зачем его дебианом пугаете? Вот он и смылся)

НЛО прилетело и опубликовало эту надпись здесь

maxshopen 25 дек 2008 в 15:53

Приведенная выше ссылка на telexexchange не диагностируется on-line сканером Dr.Web как вирус, видимо, из-за несоответствия User-agent (пауку сканера выдается какой-либо безопасный код, а всем браузерам ─ менее безопасный).

Если это так — я поражен наивности разработчиков этого online-сканера. Это же очевидно, что при подобных проверках надо маcкироваться под IE, а еще лучше под разные браузеры по очереди.

foboss 25 дек 2008 в 17:28

И свои IP тоже маскировать?

Наверняка вирусописатели сначала посмотрели с каких адресов идут запросы подобных on-line служб.

veteer 25 дек 2008 в 17:48

ага им больше делать нечего как ip адреса смотреть, все сделано на банальном user agent :-)))

maxshopen 25 дек 2008 в 17:49

И свои IP тоже маскировать?

Вы считаете это большой проблемой? Тогда я поражен еще раз за сегодня

Smartfon 25 дек 2008 в 17:09

только недавно на сайте избавился от этого кода… =\

veteer 25 дек 2008 в 17:23

www.telexexchange.net/psy/admin/ :-)))))

veteer 25 дек 2008 в 17:41

ага как и думал связка сплойтов PSYPACK кому интересно www.telexexchange.net/psy/admin/admin.php

НЛО прилетело и опубликовало эту надпись здесь

roden 25 дек 2008 в 22:02

а можно подробнее, что это за PSYPACK такой??

egorinsk 25 дек 2008 в 18:01

Гы)) А я в Опере отключил проверку опасных сайтов, нечего Opera Software за мной следить)) Правда и JS с флешем отключил для неизвестных сайтов, периодически появляется желание отключить и iframe, все равно через него только эксплойты и рекламу гоняют.

Не кажектся ли вам, что вместо того чотбы городить многомегабайтные базы «вредных» сайтов, стоит ввести какую-нибудь систему тщательного аудита кода для разработчиков браузеров? К тому же черные списки не помогут, хакер-шутник может поместить вредный код на страницы взломанного добропорядочног (хотя и безответственного) сайта.

НЛО прилетело и опубликовало эту надпись здесь

egorinsk 25 дек 2008 в 22:25

Ну про следить я конечно загнул, но блин эта проверка — лишний запрос, а пинг медленный, ну ее(( Хоть бы проверяли в фоновом режиме, не замедляя загрузку страниц.

А дырки — да, будут, хоть на МакОСь пересаживайся теперь((

НЛО прилетело и опубликовало эту надпись здесь

egorinsk 25 дек 2008 в 23:09

А как вы интересно проверяли? Она по ходу осуществляется только первый раз при обращении к незнакомуому ране сайту, при пинге 150 — где-то дополнительные полсекунды, а это плохо(

moscow_beast 25 дек 2008 в 18:05

«Имеется информация, что этот сайт атакует компьютеры!»
Firefox 3.0.5, Ubuntu 8.10

Кстати, если уж вреднючка ориентируется на User-agent, могли-бы подсовывать и не виндовый exe-шник, а ELF и т.п., в зависимости от ОС. Так что не-windows пользователям стоит быть настороже.
З.Ы. Давно хотел попробовать запустить Firefox в chrooted enviroment…

Cryptochild 25 дек 2008 в 19:48

Пользователям предлагается переезжать на линукс

BiTA 25 дек 2008 в 22:48

По ссылке _http://www.telexexchange.net/psy/load.php_ (из Оперы) подсовывается зловред, детектируемый Антивирусом Касперского как Backdoor.Win32.Agent.wci. Зловред крадет данные платежных и банковских систем
Мини-описание на сайте AV-School:
av-school.ru/desc/a-27.html

DeeoniS 25 дек 2008 в 22:56

Я немного не понял — уязвимость есть даже в последних версиях браузеров? Т.е. я понимаю что там IE долго фиксит дыры, ну у FF может быть 0-day уязвимость, т.к. опенсорс, но ведь у Оперы о дырах становится известно только после выхода обновлений вроде… Или я не прав???

motiv 26 дек 2008 в 17:19

Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; ru; rv:1.9.0.1) Gecko/2008070206 Firefox/3.0.1
а нам все равно...=)
если серьезно — в понедельник надо заблочить эти сайты на прокси, а то пользователи любят игнорировать предупреждения. Кстати, может кто в режик их добавит?

wmz 26 дек 2008 в 17:43

Куда, простите, их добавит?

НЛО прилетело и опубликовало эту надпись здесь

MisterX 4 мая 2009 в 22:02

эээ… не читал статью, напоролся, как с ним боротся кроме /etc/hosts? DrWeb не видит =(

MisterX 4 мая 2009 в 22:08

тоесть прочитал, но только сейчас, когда уже беда =)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий