www.elektronik.si

spy

Zdravo!

Na neki spletni strani sem staknil trojanca HTML/Iframe.gen. Pa ni to neka XX stran, gre za Delphi tutorial Confused

.

K sreči sem takoj opazil neke čudne taske v "task managerju" in jih sproti metal ven (recimo 5c34.tmp, 6f43.tmp, qwtj.exe,...na vsake cca 5 minut). Z brskanjem za datotekami po disku, ki so se pojavile na isti čas, sem počistil nesnago. Izgleda, da trojanec ni bil preveč siten.

Vseeno sem potem malce raziskoval, kako je do tega prišlo. Uporabljal sem:

- Antivirus NOD32 ni bil posodobljen (ok, moja napaka)
- trojanec se naseli kljub temu, da sem imel v Mozilla Firefox-u izključeno JavaScript in Javo.
- Kljub temu, da namenoma uporabljam "user" pravice na XPjih, se je zadeva brez dovoljenja naselila tudi v Windows/temp in windows/system32/ direktorij kot nek DLL. Seveda največ nesnage je bilo v local settings/tmp, kjer pravice veljajo.
- Posodobljen NOD32 najde trojanca in blokira web stran.
- stran sem našel preko googla, ki ne blokira te strani.

Zanima me, če se sploh kam lahko javi taka spletna stran? Morda google-u, da jo preveri in blokira?? Ima kdo te izkušnje? Ali naj mirno pustim, da še kdo pade na pasti? Štos je v tem, da je to čisto, za nas elektronike, uporabna stran, ni neko "osje gnezdo", kamor se ne hodi (mislim na XX, piratske in podobne strani).

Še podatki (POZOR, ne vpisuj spletne strani v brskalnik):

- trojanec se nahaja na spletni strani "w_w_w, f e s t r a , c o m"
- v lasti podjetja "Festraets" iz Belgije,
- gostuje na "godaddy. com" (ponudnik ni škodljiv)

Na administrativen email od njih sem že poslal email z opozorilom, naj odstranijo kodo s spletne strani. Ne vem pa, kaj lahko še storim.

Lp, Aleš

Highlag · Objavljeno: Čet Apr 23, 2009 1:47 pm Naslov sporočila:

Neke strani blokira že google. Mislim, da se jim da na nek način sporočiti, da web stran vsebuje neželeno kodo. Ko te začne blokirat Google hitro očistiš nesnago. Mr. Green

MAAG

spy

@MAAG: Na lastno odgovornost. Opozorilo je dano.

@highlag: ravno to sem mislil. Če kdo ve, kako se to naredi oz. če je še kak učinkovitejši način opozoriti obiskovalce.

EDIT: našel. Pošlješ link nevarne web strani na google. Tu je LINK.

Highlag · Objavljeno: Čet Apr 23, 2009 5:59 pm Naslov sporočila:

Ravno našel link:
http://www.google.com/safebrowsing/report_badware/, pa vidim, da si ga že našel.... Brick wall

spy · Objavljeno: Čet Apr 23, 2009 7:46 pm Naslov sporočila:

Zanimivo, stran nima več zlonamerne kode. Verjetno je lastnik ponovno naložil varne web datoteke.

Kot sem zasledil podobne primere na webu, je pri teh skupno to, da napadalci "popravijo" iframe tag, ki po novem kaže na (ponavadi) kitajske serverje.

Skratka, urejeno. Vseeno pa se ob tem vprašam, kako luknjasti so brskalniki....

MAAG · Objavljeno: Čet Apr 23, 2009 8:02 pm Naslov sporočila:

Prevec....

Highlag · Objavljeno: Čet Apr 23, 2009 8:38 pm Naslov sporočila:

Katero verzijo FF pa imaš?

spy · Objavljeno: Čet Apr 23, 2009 10:42 pm Naslov sporočila:

Zadnjo... verzija 3.0.9

Tudi "release notes" ne omenja tega bugca. Če bi dobil kodo včerajšnje "nevarne" web strani, bi se dalo videl kaj je bilo vzrok. Današnjo imam, pa ni nič nevarnega. Zato sklepam, da je lastnik ponovno naložil prave file. Imam pa file, ki se je prenesel na disk in zanetil probleme (wJQs.exe). Morda "dis-assembling" tega exe-ja? Vendar je to izven mojih zmožnosti.

Kot pravim, taka prigoda podre največkrat slišano načelo varnosti: "ne srfaj po sumljivih spletnih straneh". Ta ni prav nič sumljiva...