Zarejestruj się u nas lub też zaloguj, jeśli posiadasz już konto. 


Poprzedni temat :: Następny temat
JS.IFRAME.425
Autor Wiadomość
megler 
Administrator
Michał Egler


Wiek: 53
Dołączył: 04 Sty 2008
Posty: 71
Wysłany: 2013-05-04, 19:29   JS.IFRAME.425

Ostatnio wykryta została duża liczba plików zainfekowanych wirusem znanym programowi DrWeb pod nazwą JS.IFRAME.425 . Jak usunąć wirusa. Niestety reakcja podjęta przez program DrWeb to usunięcie pliku zainfekowanego. Po głębszej analizie doszedłem do wniosku, że wirus dołącza do pliku html na jego końcu okolo 150 bajtów kod. Długość nie jest stała ponieważ zależy od nazwy domeny z zainfekowanymi plikami.

Z informacji uzyskanych od jednego z naszych klientów wynika:
- jest to robak typu Malware
- pochodzi z zarażonego komputera użytkownika, który łączy się z FTP danego serwisu
- pobiera ustawienia FTP (loginy, hasła), po czym lączy się z serwisami, atakuje pliki index* oraz login* nadpisujac zakodowanym hashem javascryptu, który po zdekodowaniu tworzy ukryty iframe, w rezultacie uzyskujac dostep do wszystkich zasobów serwisu z poziomu www


Kod zawarty w dodawanej do pliku linii potwierdza tworzenie iframe z atrybutem hidden (ukryty).
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group
Template TeskoGreen v 0.1 modified by Nasedo. Done by Forum Wielotematyczne
Strona wygenerowana w 0,04 sekundy. Zapytań do SQL: 11