Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Archív

Autorův archiv
11.04.2014

Jede traktor, je to Zetor, veze s sebou redirektor…

Jeden z mých kolegů z Virus Labu je velkým fanouškem punkové skupiny Visací zámek. Řekl si, že by si o víkendu rád zapogoval a šel hledat termíny a místa koncertů. Místo toho se však dočkal pouze hlášení o infekci… Jaké bylo naše překvapení, když jsme zjistili, že se jedná o infekci kvůli zranitelnosti, kterou jsme začali detekovat již na konci minulého roku, 27. prosince, jako JS:Redirector-BJB.

visaci.cz_

Jedná se o zneužitou chybu OpenX serveru (v tomto případě hxxp://th.y-co.de), který se používá k distribuci reklamy. Přestože jsme očekávali, že po více než třech měsících bude většina serverů aktualizovaná, dle našich statistik se s těmi infikovanými denně setkává zhruba 30 tisíc našich uživatelů a jedná se tak o jednu z nejrozšířenějších hrozeb na internetu.

kod_puvodni

Na printscreenu škodlivého kódu si můžete všimnout enkryptované části, která využívá prakticky stejného mechanismu, o jakém jsme vás informovali již na začátku minulého roku. Po jejím přeložení do srozumitelného kódu dostáváme tento krátký javascript:

kod_deobfuskovany

Kód je snadno čitelný; pokud jste na stránce poprvé (kontrola cookie) a používáte jako prohlížeč Interner Explorer, načte obsah hxxp://seriz.biz. Tato doména je již dávno nefunkční, ale kdo ví, jestli ji autoři tohoto malwaru zase někdy nezapnou.

O tom, jak vyčistit váš infikovaný OpenX server, jsme radili na našem blogu na začátku roku. Již jsme také kontaktovali administrátory webových stránek Visacího zámku, aby výše uvedený škodlivý kód smazali. S avastem jste ale proti takovým útokům chráněni už nyní!

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na Facebooku, Twitteru, Google+, Instagramu a Pinterestu. Podnikatelé – podívejte se na naše firemní produkty.

Comments off