Shaitan-Devil
25.12.2008, 16:45
Среди веб-страниц, добавляемых в базу бесплатного антивируса для сайтов SiteGuard, в последнее время достаточно часто стали попадаться страницы, содержащие потенциально опасные iframe или javascript-коды, при этом у данных кодов было общее свойство ─ все они вели на различные страницы домена _google-analistyc.net_ (осторожно, в данный момент там просто слово test, но может появиться что угодно, поэтому посещать подобные сайты следует с отключенным JS). Подробности ─ под хабракатом.
К примеру, была обнаружена страница, в свою очередь загружающая iframe с адресом _http://www.telexexchange.net/psy/_ (осторожно!).
Скрипт по этому адресу определяет тип браузера, и выводит соответствующий ему эксплоит, в том числе для Firefox и Opera. Желающим провести эксперименты самостоятельно еще раз подчеркнем, что посещать этот сайт следует только отключив JavaScript в настройках браузера, а пользователям IE лучше вообще воздержаться от экспериментов. На момент написания статьи сайт еще не появился в базе опасных сайтов Firefox.
Более детальный «разбор полетов» позволяет говорить о том, что данный вирус имеет гораздо более серьезные намерения, чем появившийся в апреле этого года «клон» Google Analytics по адресу _http://gooqle-analytics.com/_. Новая модификация клона не имеет ничего общего с предыдущей, и по своему деструктивному воздействию более опасна ─ используя уязвимости браузеров, пытается скрытно загрузить и выполнить exe-файл с трояном.
Приведенная выше ссылка на telexexchange не диагностируется on-line сканером Dr.Web как вирус, видимо, из-за несоответствия User-agent (пауку сканера выдается какой-либо безопасный код, а всем браузерам ─ менее безопасный).
Разработчики ведущих отечественных антивирусов уже проинформированы нами о данном типе вируса, поэтому вскоре можно ожидать выхода соответствующих обновлений баз.
Таким образом, на сегодняшний день даже использование правильных браузеров не решает проблему с вирусами, поэтому остается порекомендовать только использовать современные антивирусные средства, а в качестве полумеры для пользователей Windows ─ пополнить файл WINDOWS\system32\drivers\etc\hosts записями:
127.0.0.1 google-analistyc.net
127.0.0.1 telexexchange.net
UPD: Firefox 3 уже предупреждает о сайте, как о потенциально опасном.
http://habrahabr.ru/blogs/infosecurity/47769/
К примеру, была обнаружена страница, в свою очередь загружающая iframe с адресом _http://www.telexexchange.net/psy/_ (осторожно!).
Скрипт по этому адресу определяет тип браузера, и выводит соответствующий ему эксплоит, в том числе для Firefox и Opera. Желающим провести эксперименты самостоятельно еще раз подчеркнем, что посещать этот сайт следует только отключив JavaScript в настройках браузера, а пользователям IE лучше вообще воздержаться от экспериментов. На момент написания статьи сайт еще не появился в базе опасных сайтов Firefox.
Более детальный «разбор полетов» позволяет говорить о том, что данный вирус имеет гораздо более серьезные намерения, чем появившийся в апреле этого года «клон» Google Analytics по адресу _http://gooqle-analytics.com/_. Новая модификация клона не имеет ничего общего с предыдущей, и по своему деструктивному воздействию более опасна ─ используя уязвимости браузеров, пытается скрытно загрузить и выполнить exe-файл с трояном.
Приведенная выше ссылка на telexexchange не диагностируется on-line сканером Dr.Web как вирус, видимо, из-за несоответствия User-agent (пауку сканера выдается какой-либо безопасный код, а всем браузерам ─ менее безопасный).
Разработчики ведущих отечественных антивирусов уже проинформированы нами о данном типе вируса, поэтому вскоре можно ожидать выхода соответствующих обновлений баз.
Таким образом, на сегодняшний день даже использование правильных браузеров не решает проблему с вирусами, поэтому остается порекомендовать только использовать современные антивирусные средства, а в качестве полумеры для пользователей Windows ─ пополнить файл WINDOWS\system32\drivers\etc\hosts записями:
127.0.0.1 google-analistyc.net
127.0.0.1 telexexchange.net
UPD: Firefox 3 уже предупреждает о сайте, как о потенциально опасном.
http://habrahabr.ru/blogs/infosecurity/47769/