HomeHome  SDManija portalSDManija portal  CalendarCalendar  GalleryGallery  FAQ/УпутствоFAQ/Упутство  ТражиТражи  Листа члановаЛиста чланова  Корисничке групеКорисничке групе  Региструј сеРегиструј се  Приступи  
web counter
Тражи
 
 

Display results as :
 
Rechercher Advanced Search
Navigation
 Portal
 Индекс
 Листа чланова
 Профил
 FAQ/Упутство
 Тражи
Affiliates
free forum

December 2016
MonTueWedThuFriSatSun
   1234
567891011
12131415161718
19202122232425
262728293031 
CalendarCalendar
Oglasi

adhitz

 

Virus koji koristi PDF i flash

Погледај предходну тему Погледај следећу тему Go down 
Аутор Порука
Admin
Admin
Admin


Број порука : 903
Points : 4638
Reputation : 94
Join date : 07.06.2009
Age : 26
Локација : Smederevo

ПорукаНаслов: Virus koji koristi PDF i flash   19/6/2009, 19:22

ovo sam pronasla na jednom forumu i prekopirala

Vec neki dan pratim sta se desava sa jednim virusom koji mi je zarazio jedan windows - jedva sam se izborio sa njim. Virus je izgleda modifikacija tzv. "Gumblar" virusa koji je nazvan po gumblar.cn sajtu na kome se izgleda prvi put pojavio.

Virus je VEOMA opasan iz razloga sto koristi propuste u plugin-ovima za adobe pdf ili flash player, sto znaci DA SE MOZETE ZARAZITI SAMIM POSECIVANJEM NEKOG SAJTA (mislim da sam se ja tako zarazio), A DA TOGA NE BUDETE UOPSTE SVESNI!

Kako? Naime, analize su pokazale da se on doda na sajtove kao hidden (sakriveni) iframe, koji poziva javascript da odredi da li imate pdf/flash plugin, i ako ima - forsira ucitavanje zarazenog pdf/ flash fajla u tom skrivenom iframe-u. Posto ga gomila antivirusa ne pronalazi - ja sam se zarazio na tom windowsu sa avira antivirusom, spybot-om i firefox-om - lako mu je da se doda u sistem i pokrene prilikom restarta masine. Fajlove koje sam nasao da su zarazeni sam pogledao preko virustotal sajta, i svaki dan od ponedeljka se povecava broj antivirusa koji detektuju ovo cudo (gde su bili u subotu &%$$%^&$#). SWF fajl trenutno pronalazi samo 8 antivirusa, a pdf 16 od 40
SWF:
http://www.virustotal.com/anal...d7c51647fa7575879f9-1244015513
PDF:
http://www.virustotal.com/anal...53c5c7c180829a11c52-1244015334

Virus je veoma opasan narocito za WEBMASTERE- zato sto krade vase ftp naloge i salje ih "tamo negde" nekoj mrezi zarazenih racunara (botnet) , gde se posle koriste vasi podaci da zaraze vase sajtove. Ovaj "moj" virus se ogranicio na index.php i index.htm* fajlove, dodavajuci skriveni iframe ka nekom beidzan.com sajtu. Prvo sto treba da uradite je da promenite lozinku sa nezarazenog racunara, kao i da ili izbacite skriveni sadrzaj iz svojih fajlova na serveru ili da vratite neki nezarazeni backup. Gumblar varijante umeju da zaraze i mnoge druge fajlove osim index.php/htm*.

Virus tipa gumblar osim sto salje vase podatke, pravi i "lazne" antiviruse, blokira ostale antiviruse i slicne programe, "lazira" google upite - trazite jedno a dobijete drugo,i ono najvaznije - krece da spamuje sa vaseg racunara (gomila otvorenih konekcija ka raznim smtp serverima i portu 25). Tako sam ga i primetio - jer a) krenula je aktivnost na mrezi a da nista nisam pokrenuo i b) antivirus je bio ugasen.

I jos nesto, nove varijante virusa umeju da "zaobidju" zastitu google chrome-a tako da ni tu niste sigurni!
( http://news.digitaltrends.com/...-virus-becoming-a-major-threat )

KAKO SE ZASTITITI- zasad, posto virus koristi javascript parce koda da odredi sta imate od plugina - dovoljno bi bilo privremeno iskljuciti javascript. Mada - opet ostaje mogucnost napada na pdf/swf direktnim linkovima... tako da - flash blocker za firefox, a za pdf... neki pdf download za firefox ili tako nesto - mada nisam siguran da li bi vas to "spasilo". U svakom slucaju - naporno, ali trebalo bi proveriti svaki sajt na koji idete preko http://www.unmaskparasites.com/ - upisete tamo adresu sajta, pa ako nema nekih skrivenih iframe-ova - moze.
Isto, ne snimajte nigde ftp lozinke, update-ujte flash i acrobat reader/sta vec koristite na najnovije verzije, i ako ste vec "fasovali" virus - promenite lozinke sa sigurnog (citaj - nekog npr. live linux) racunara.

Vise o svemu tome procitajte na sledecim stranama:
http://news.digitaltrends.com/...-virus-becoming-a-major-threat
http://www.switched.com/2009/0...er-virus-was-bad-meet-gumblar/
http://news.cnet.com/8301-1009...ag=feed&subj=News-Security
http://blog.unmaskparasites.co...go2me-hidden-iframe-injection/
http://blog.unmaskparasites.co...ncarnation-of-gumblar-exploit/
http://blog.unmaskparasites.co...ncome-iframes-from-cn-domains/
http://www.webologist.co.uk/20...he-internet-how-to-remove.html


Analize svega toga (kako radi, sta radi):
http://www.martinsecurity.net/...xploits-employado-por-gumblar/
http://www.martinsecurity.net/...tro-del-enorme-ataque-gumblar/
http://wepawet.iseclab.org/vie...2&t=1243014899&type=js
http://blog.unmaskparasites.co...ts-about-this-injected-script/

Jos analiza fajova koje sam nasao kao zarazene:
http://camas.comodo.com/cgi-bi...b7dfbbddd7328d1aae16bcbd785e0b
http://camas.comodo.com/cgi-bi...8389e49bc0fbf07fe95386e6b2d873
http://www.virustotal.com/anal...28d1aae16bcbd785e0b-1244020630
Назад на врх Go down
Погледај профил корисника http://sdmanija.forumotion.com

Virus koji koristi PDF i flash

Погледај предходну тему Погледај следећу тему Назад на врх 
Страна 1 of 1

Permissions in this forum: Не можете одговорити на теме у овом форуму
 :: PC svet :: PC klinika, software -
Free forum | © phpBB | Free forum support | Контакт | Report an abuse | www.sosblogs.com