Новости сетевой безопасности, все новости по сетевой безопасности
3.08.2009 - 9:43 |
dimusik
Born in the USSR
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.862 Регистрация: 9.09.2006 Из: Mogilev Пользователь №: 224.934
Респектов: 3938
| Обнаружен новый способ заражения компьютеров Специалисты израильской компании Radware обнаружили новый метод заражения компьютеров злонамеренным софтом. Внедрение хакерского кода происходит в момент, когда компьютер-жертва производит обновление программного обеспечения. Израильские специалисты утверждают, что в процессe обновления можно без особых проблем вмешаться и фактически подменить обновляемое приложение. По словам Итцика Котлера, одного из разработчиков новой методики, такому методу внедрения подвержены не менее сотни популярных приложений, используемых миллионам пользователей по всему миру. Radware разработала специальное программное обеспечение Ippon, которое позволяет проводить атаку и предлагает трехмерную демонстрацию всех проводимых действий. Новая разработка будет показана на конференции Black Hat 2009 ( Лас-Вегас, США). Принцип действия программы довольно прост: она сканирует пространство в поисках работающей WiFi-сети и проверяет передаваемый траффик на наличие специальных флагов обновления программ, сканирование осуществляется на уровне стандартного протокола HTTP. В том случае, если программа найдет в трафике запросы на обновление софта, то она перехватывает их и отвечает перед легитимным сервером обновлений, передавая свой поток данных. По словам разработчиков, Ippon также способен подделывать сообщения, говоря популярным программам, что для них доступны обновления и предлагать их вместо данных с подлинных серверов. Злонамеренный код загружается на компьютер-жертву под видом легитимного софта и выполняется с привилегиями пользователя, загрузившего код. Решением проблемы может стать использование цифровых подписей в процессе обновления. Например, все разработки Microsoft при обновлении такие подписи используют, однако есть масса программ, отказавшихся цифровых подписей. Кроме того, разработчики советуют пользователям загружать обновления только из защищенных сетей и быть особенно осторожными при работе в публичных беспроводных сетях. www.securitylab.ru | |
| |
6.08.2009 - 22:30 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Ошибки в реализации XML угрожают огромному числу приложений Исследователи из финской компании Codenomicon обнаружили серьезные уязвимости в реализации стандарта XML в некоторых основополагающих приложениях с открытыми исходными кодами. Главная опасность заключается в том, что эти базовые технологии используются почти повсеместно – от банков и систем электронной коммерции до чисто потребительских настольных приложений.» Нажмите, для открытия спойлера | Press to open the spoiler « Уязвимости, открытые финскими специалистами, содержатся почти во всех библиотеках для поддержки XML. Арии Таканен (Ari Takanen), технический директор Codenomicon, пояснил, что многие из обнаруженных уязвимостей позволяют атакующей стороне остановить работу приложений, использующих данные библиотеки XML, или даже выполнить собственный вредоносный код. Уже известно, что уязвимости подвержены такие важные технологии, как языки программирования Python и Java, а также Apache Xerces для синтаксического разбора XML на стороне веб-сервера. Важность открытия финских специалистов состоит в компрометации самых основ, на которых построены многие приложения, используемые по всему миру. Эти уязвимые технологии лежат в основе «облачных» сервисов, систем трехмерной графики и многих бизнес-систем. Уязвимости обнаружены в рамках проекта CROSS (Codenomicon Robust Open Source Software), направленного на поиск уязвимостей с помощью потока случайных, порой ничего не значащих команд и входных данных для различных компонентов с открытыми исходниками. Специалисты Codenomicon сообщили, что наибольший риск связан с библиотеками, написанными на языке C, поскольку этот язык содержит недостаточно средств для борьбы с исполнением постороннего кода. Атака на эти уязвимости может быть выполнена, если заставить пользователя просто открыть специально модифицированный XML-файл или отправить особого вида запросы к веб-сервисам, работающим на базе XML. Компания Codenomicon поделилась результатами своих открытий с финским представительством службы CERT (Computer Emergency Readiness Team), которое, в свою очередь, немедленно обратилось к крупнейшим производителям программных продуктов. В частности, группа разработчиков Python уже подтвердила работу над исправлениями. В то же время пока ничего неизвестно о реакции компании Sun (разработчиков Java) и разработчиков Apache, хотя они определенно уже приступили к решению проблемы. Сейчас трудно прогнозировать последствия, к которым приведет обнародование данных об уязвимости основ современного Интернета. В то же время, всей ИТ-индустрии стоит провести тщательный анализ своих систем на наличие этих уязвимостей в вездесущих XML-библиотеках. Подробнее о серьезной угрозе в открытых реализациях стандарта XML можно прочитать в обзоре на сайте Источник:soft@mail | |
| |
6.08.2009 - 22:57 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Появился новый способ внедрения вирусов в компьютер Программа по внедрению злонамеренного софта способна сама рассылать сообщения с предложением доступных обновлений с адресов легитимных серверов. Программа ищет в передаваемом трафике данные, а затем подменяет их.» Нажмите, для открытия спойлера | Press to open the spoiler « Израильские специалисты из компании Radware выявили новый способ распространения компьютерных вирусов. Внедрение зловредного кода происходит в момент обновления жертвой-компьютером программного обеспечения. Как выяснили специалисты из Radware, хакеры без особого труда могут вмешиваться в процесс и подменивать обновляемые приложения.
Данному методу внедрения подвержены более сотни популярнейших приложений, которые используются миллионами людей по всему миру. Это могут быть программы, благодаря которым происходит продвижение сайта. Разработчики Radware готовы представить программное обеспечение Ippon, обладающее способностью производить перехват и последующую атаку.
На конференции Black Hat 2009, которая состоится в Америке, Radware произведет наглядную презентацию новой программы, объясняющую, как проводятся такие перехваты и атаки. На этой конференции также будет представлены новаторские идеи по теме: раскрутка сайта и новые способы оптимизации электронных ресурсов.
Принцип действия программы прост. Она сканирует пространство и ищет работающие WiFi-сети. Затем проверяется передаваемый трафик, и при обнаружении в нем флажков программного обновления производится атака. Когда программа находит запросы на обновление софта, она производит перехват и отвечает на него своим потоком данных.
Как говорят разработчики программы Ippon, она способна посылать сообщения с адресов подлинных серверов, в которых предлагаются доступные обновления для популярных программ. То есть под видом легитимного софта в компьютер-жертву загружается злонамеренный софт.
Цифровые подписи в процессе обновления могут стать препятствовать распространению вирусов таким способом, и оптимальным решением данной проблемы. Цифровые подписи при обновлении программного обеспечения используют все разработки Microsoft, но есть множество программ, которые от них отказались.
Разработчики рекомендуют всем пользователям при загрузке обновлений обращать внимание на уровень защищенности сетей, а при работе в публичных беспроводных сетях проявлять максимум осторожности. Источник: bagnet | |
| |
10.08.2009 - 0:31 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Virus Bulletin забраковал треть антивирусов Треть распространенных антивирусных приложений, выпускаемых на рынок ведущими производителями, не могут обеспечить полную защиту Windows от современных угроз. К такому выводу пришли эксперты компании Virus Bulletin после изучения результатов независимого тестирования современных антивирусов на соответствие стандарту VB100.» Нажмите, для открытия спойлера | Press to open the spoiler « в рамках теста Virus Bulletin VB100 изучаемым средствам защиты предлагается справиться с вредоносными приложениями из списка WildList, в котором присутствует большинство актуальных на данный момент Интернет-угроз. Для успешного прохождения испытания приложение должно не только корректно обнаружить все вирусы на компьютере, но и не поднимать ложной тревоги при проверке заведомо неопасных файлов. Несмотря на кажущуюся легкость предлагаемых условий, 12 из 35 исследуемых антивирусов не смогли пройти сертификацию. В списке провалившихся оказались решения от таких известных производителей, как CA и Symantec. Большинство испытуемых «срезались» на одном весьма замысловатом полиморфном вирусе. Организаторы также зафиксировали небольшое количество ложных срабатываний. Сертификация продуктов проводится совершенно бесплатно, а участие в тестировании является добровольным. Как обычно, большинство известных производителей антивирусного ПО охотно предоставили свои продукты для независимого исследования. Одним из наиболее заметных «отказников» на этот раз оказалась компания Trend Micro, выразившая сомнения в эффективности и объективности используемой методики тестирования. С результатами августовского тестирования можно ознакомиться на сайте Virus Bulletin . Для получения доступа к отчету пользователям необходимо пройти бесплатную регистрацию. Источник: Софт@mail | |
| |
13.08.2009 - 20:25 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Половина новых вирусов живет не больше суток Антивирусная компания Panda обнародовала интересную статистику. Ее специалисты ежедневно идентифицируют около 37 тыс. новых разновидностей интернет-угроз. Но лишь половина из них остается актуальными по прошествии 24 часов.» Нажмите, для открытия спойлера | Press to open the spoiler « Несмотря на столь краткую продолжительность жизни среднестатистического вируса, хакеры продолжают не покладая рук трудиться над созданием новых вредоносных программ. У подобной продуктивности, по мнению Panda Labs, есть вполне разумное объяснение. Уже знакомый антивирусным продуктам образец вредоносного кода после незначительной модификации снова приобретает статус «невидимки».
«Это нескончаемая гонка, в которой хакеры по-прежнему лидируют, - с сожалением признает Луис Корронс (Luis Corrons), технический директор Panda Labs, - Ведь мы вынуждены тратить время на изучение и классификацию угрозы и выработку эффективных защитных мер. В наиболее уязвимом положении находятся те производители систем защиты, которые проводят необходимый анализ вручную. Эти компании просто не успевают выпустить «противоядие», учитывая стремительные темпы распространения инфекции».
За последние полтора года эксперты изучили и занесли в каталоги более десяти миллионов неизвестных образцов опасного кода. Для сравнения, в период между 1990 и 2008 годами в глобальном киберпространстве было обнаружено всего 20 миллионов новых вирусов.
Вовлеченные в неравную борьбу производители ПО вынуждены искать новые подходы к решению проблемы. Большинство разработчиков современных антивирусов дополняют традиционные средства обнаружения угроз, основанные на использовании сигнатур, механизмами эвристического анализа. Кроме того, все большую популярность приобретают решения на базе веб-сервисов и технологий облачных вычислений, которые обеспечивают предельно оперативное обновление систем защиты. По материалам сайта V3.co.uk | |
| |
14.08.2009 - 16:00 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Специфичный Delphi-вирус В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некоторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса. Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия: 1. Удалите SysConst.dcu 2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения. Некоторые подробности и обсуждение: www.delphikingdom.com/asp/answer.asp?IDAnswer=70912 forum.qip.ru/showthread.php?t=36203 forum.qip.ru/showthread.php?t=35939 этот топик не призван поливать грязью QIP, зараженным оказался и AIMP, я подозреваю что и многие другие программы. Для тех, кому лень ходить по ссылкам — разработчики QIP пересобрали сборку. Источник:habrahabr_ru | |
| |
23.08.2009 - 2:01 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Хакеры нанесли ответный удар по киберполиции Австралийская федеральная полиция предприняла попытку взять с поличным целую сеть киберпреступников. Из-за некомпетентных действий полиции подозреваемые заранее узнали о предстоящем рейде, а также совершили ответный взлом полицейских серверов. » Нажмите, для открытия спойлера | Press to open the spoiler « Полицейские эксперты по безопасности решили провести рейд против участников форума r00t-you.org. Ход следствия и оперативных мероприятий освещался в передаче «Four Corners» телекомпании ABC. Как стало известно полиции, на этом форуме собралось около 5'000 участников, многие из которых причастны к разного рода компьютерным преступлениям.
Как сообщили представители полиции, они создали систему-приманку, которая должна была отслеживать вход пользователей на форум r00t-y0u.org. В определенный момент, накопив доказательства, полицейские захватили полный контроль над форумом. Для этого полиция вторглась в дом человека, который, по данным следствия, был администратором форума. В телевизионном эфире довольные полицейские показали, как они размещают на форуме сообщения о захвате администратора.
Тактика австралийской полиции могла бы оказаться успешной, если бы не пара досадных ошибок. Во-первых, еще на стадии наблюдения за форумом наиболее опытные посетители и администраторы сайта распознали угрозу и хорошо подготовились к «внезапным» действиям полиции. Во время рейда большинство подозреваемых скрылось, а в руки полиции попала лишь пара начинающих «горе-хакеров».
Второй и самой обескураживающей ошибкой стало то, что полицейские эксперты не удосужились поставить пароль на базу данных MySQL, ставшую основой системы-приманки. Пока полиция разъезжала по Мельбурну в поисках участников форума, анонимный хакер вскрыл серверы полиции и опубликовал отчет с доказательствами на сайте pastebin.com. Свой отчет хакер снабдил язвительными комментариями с указанием, что потратил на взлом всего 30-40 минут, причем взломал бы и быстрее, если бы не смеялся над непродуманной конфигурацией. В качестве доказательств взлома приведены снимки экрана с электронными копиями вещественных доказательств из базы данных полиции. В частности, в сеть попали снимки поддельных водительских прав и украденных номеров кредитных карт. Для взлома хакер использовал технику SQL-инъекции, а затем разместил на сервере полиции файл с кодом на языке PHP, с помощью которого мог просматривать все содержимое сервера.
Само собой, австралийская полиция не пожелала признать свое поражение. Официальные представители сообщили журналистам, что вскрытая система была специально предназначена для привлечения хакеров и не была подключена к общей полицейской сети. Также полиция заверила журналистов, что личность взломщика установлена и рассматривается вопрос о возможных санкциях в отношении этого человека. По материалам The Register | |
| |
24.08.2009 - 9:23 |
AS007
AlexSoft007
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 1.868 Регистрация: 11.05.2005 Из: Где то рядом ;) Пользователь №: 1.024
Респектов: 1156
| Тем кто выписывает и покупает журнал Хард и Софт (Hard'n'Soft) посвящается. У нас выписывался журнал до 06.2009г. После отпуска обнаружил вот такую картину, на сервере. Мы диски сохраняем на винт, в виде архива, что бы по сети можно было их просмотреть. Цитата | Quote(HugoBo-SS @ 14.08.2009 - 17:00) Добавил
"Лаборатория Касперского" обнаружила вирус, заражающий Delphi-приложения на этапе разработки
» Статья « Дата: 18.08.2009Цитата | Quote(Лаборатория Касперского) «Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о появлении вируса Virus.Win32.Induc.a, распространяющегося через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах «Лаборатории Касперского».
Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.
Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.
Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.
В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.
Продукты «Лаборатории Касперского» успешно детектируют Virus.Win32.Induc.a и излечивают от него как откомпилированные в Delphi модули, так и файлы исполняемых в Windows форматов. Оригинал статьи: http://www.kaspersky.ru/news?id=207733037 Источник: kaspersky.ru/newsESET сообщает о новом вирусе Win32/Induc.A » Статья « Цитата | Quote(ESET) Москва, 21 августа 2009 г. Компания ESET, международный разработчик антивирусного ПО и решений в области компьютерной безопасности, сообщает о новом вирусе Win32/Induc.A, инфицирующем программное обеспечение, написанное в среде разработки Delphi.
Вирус Win32/Induc.A не обладает деструктивными функциями, однако его оригинальный и эффективный механизмом распространения представляет чрезвычайный интерес. Сначала происходит заражение среды Delphi, вследствие чего программы, компилированные на инфицированном компьютере, также становятся носителями кода вируса. Поскольку никакой финансовой прибыли вирусописателям программа принести не может, по всей видимости, она создана из академического интереса или в качестве прототипа для другого вредоносного ПО.
Язык программирования Delphi, главным образом, применяется в отраслях с использованием обширных баз данных, например, в банковской сфере. В таких организациях Win32/Induc.A получил наибольшее распространение.
Система раннего обнаружения угроз ESET ThreatSense.Net зафиксировала более 30 000 уникальных образцов вредоносного ПО Win32/Induc.A в течение первых 24 часов с момента внесения данного вируса в сигнатурную базу 18 августа 2009 года.
«Win32/Induc.A смог заразить огромное количество ПК разработчиков программного обеспечения, использующих Delphi. Несмотря на то, что мы давно проактивно детектируем данное ПО как вредоносное, многие поставщики программных продуктов проигнорировали предупреждение ESET NOD32 о новом вирусе, ошибочно приняв его за ложное срабатывание. В результате множество копий лицензионного ПО, созданного на инфицированных компьютерах, было продано пользователям», - комментирует глава вирусной лаборатории ESET Юрай Малчо.
Примечательно, что вирус также распространяется вместе с троянской программой Win32/Spy.Banker. По всей вероятности, создатели трояна сами стали жертвами таких же вирусописателей, и программа Win32/Spy.Banker была скомпилирована хакерами в среде Delphi на зараженных вирусом Win32/Induc.A компьютерах. Оригинал статьи: http://esetnod32.ru/c...LEMENT_ID=6790 Источник: esetnod32.ru | |
| |
24.08.2009 - 20:27 |
AS007
AlexSoft007
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 1.868 Регистрация: 11.05.2005 Из: Где то рядом ;) Пользователь №: 1.024
Респектов: 1156
| Win32.Induc заражает среду разработки Delphi 24 августа 2009 года Цитата | Quote(Dr.Web) В середине августа вирусными аналитиками компании «Доктор Веб» был обнаружен вирус, заражающий среду разработки Delphi. Этот вирус, получивший наименование Win32.Induc, активно распространялся в течение нескольких месяцев и не был заметен для пользователей в силу отсутствия вредоносного функционала. Учитывая огромное количество зараженных пользователей, а также потенциальную угрозу модификации этого вируса, мы имеем основания предполагать, что его безвредность обманчива. » Продолжение статьи « Цитата | Quote(Dr.Web) Вирус Win32.Induc заражает один из файлов, использующихся при компиляции проектов в среде разработки Delphi, после чего все скомпилированные проекты становятся его распространителями. Вирус заражает только тех пользователей, у которых установлены версии Delphi с 4 по 7. Он модифицирует библиотеку SysConst.dcu, которая используется при сборке проектов. При компиляции любого Delphi-проекта, использующего модифицированную вирусом библиотеку, получается приложение, обладающее функциональностью оригинального вируса.
Единственное назначение этого вируса – дальнейшее саморазмножение, других функций не содержится. Антивирусные решения Dr.Web обнаруживают и предлагают лечение Win32.Induc, поскольку, несмотря на кажущуюся безобидность, он таит в себе очевидную опасность. Так как ознакомиться с исходными текстами этого вируса может любой желающий, применить технологии его размножения для распространения вредоносных программ с деструктивным функционалом смогут другие вирусописатели.
Многие популярные программы, разработанные в зараженной среде Delphi, стали носителями этого вируса и вызвали цепную реакцию распространения. Наличие зараженных файлов было обнаружено у сотен тысяч пользователей. Столь внушительные цифры объясняются тем, что Win32.Induc не привлекал внимание пользователей и не имел деструктивного функционала. Источником распространения вредоносной программы стали как популярные софт-порталы, так и компакт-диски, прилагающиеся к популярным компьютерным журналам.
Примечательно, что помимо легальных программ заражению подверглись и разработки вирусописателей. Так, нами были обнаружены вирусы (Trojan.PWS.Banker.30321, Trojan.DownLoad.44695 и др.), разработанные в среде Delphi и при этом зараженные Win32.Induc.
Этот вирус демонстрирует возможности распространения вредоносных программ, известные еще с эпохи DOS-вирусов. Подобные технологии были использованы в неопасном нерезидентном вирусе HLLP.BeginPas, который заражал исходные тексты программ на языке программирования Pascal.
После того как нами был реализован алгоритм лечения, активность Win32.Induc значительно снизилась.
Если ваша система подверглась заражению, «Доктор Веб» рекомендует воспользоваться бесплатной лечащей утилитой Dr.Web CureIt. Для пользователей, защищенных антивирусными решениями Dr.Web, Win32.Induc угрозы не представляет. Оригинал статьи: http://news.drweb.com/show/?i=434&c=5 Источник: news.drweb.com | |
| |
25.08.2009 - 17:34 |
clon31
профи!
[SoftoRooMTeaM]
Группа: Наши Люди Сообщений: 4.012 Регистрация: 4.11.2005 Из: На данный момент Бетельгейзе 3 :) Пользователь №: 62.555
Респектов: 1616
| В сети произошел массовый взлом 57 000 сайтов ИТ-специалисты из компании ScanSafe обнаружили в сети следы недавно проведенной хакерской кампании, по результатам которой были скомпрометированы свыше 57 000 сайтов. На всех взломанных сайтах злоумышленники размещали вредоносное программное обеспечение, предлагавшееся посетителям сайтов. Согласно опубликованным данным, сайты инфицировались при помощи SQL-инъекции, после которой на тысячах сайтов размещался скрытый iFrame. "Подгружаемый код, присутствовавший на всех взломанных сайтах, представлял собой ядовитый коктейль из троянов, бекдоров и программ-загрузчиков", - рассказывает старший специалист по исследованиям ScanSafe Мэри Ландсман. » Нажмите, для открытия спойлера | Press to open the spoiler « IFrame создает плавающий фрейм, который находится внутри обычного документа, он позволяет загружать в область заданных размеров любые другие независимые документы. iFrame является контейнером, содержание которого игнорируется браузерами, не поддерживающих данный тег. Для таких браузеров можно указать альтернативный текст, который увидят пользователи, однако почти все современные браузеры поддерживают данный тег.
"Проведенный нами анализ указывает на то, что следы атаки происходят из Китая. Однако следует подчеркнуть, что метод с подгружаемыми кадрами представляет собой международную проблему, в которой сам Китай часто бывает жертвой. Сейчас ScanSafe также отслеживает несколько других волн атак, направленных на китайские сайты. Здесь взломано уже 70 000 сайтов", - говорит Ландсман.
Источник: _www.cybersecurity.ru | |
| |
|
|