• BlackHole exploit kit и псевдослучайная генерация доменных имён

    Специалистам компании Sophos удалось разгадать схему работы одного из скриптов, используемых в наборе эксплойтов BlackHole для перенаправления траффика на сайты, контролируемые злоумышленниками. По словам представителей Sophos, уникальность данного скрипта в том, что он способен атаковать большое количество сайтов одновременно, а после внедрения в JavaScript сайта, генерирует случайную строку, содержимое которой затем добавляется к доменному имени.
    Исследования показали, что встроенный скрипт обфускацируется, внедряясь в легитимные библиотеки JavaScript, установленные на инфицируемых сайтах. Также в ходе исследований обнаружилось, что одной из причин заражения может стать уязвимость в программном обеспечении для администрирования серверов. В частности, сообщается, что уязвимость, ставшая причиной заражения, найдена в программном пакете Plesk.



    Проведя деобфускацию заражённого JavaScript(а) (простейший процесс, выполняемый стандартными методами), специалисты Sophos обнаружили, что для перенаправления используется iframe-редирект. Однако их особенно заинтересовал тот факт, что для генерации случайной строки используется простейший алгоритм с привязкой к дате.



    Вредоносный скрипт генерирует случайную строку с привязкой к текущей дате, изменяя её каждые 12 часов.
    Тэг <iframe>, добавляемый вредоносным скриптом на страницу заражённого сайта, перенаправляет браузер пользователя, попавшего на такой сайт, на TDS сервер, контролируемый злоумышленниками. Ранее скрипт часто генерировал случайную строку, содержащую запись вида: 'Runforestrun'.



    Новейшие модификации скрипта генерируют псевдослучайные строки разного цвета и с различным текстовым наполнением. К тому же замечено, что они научились использовать динамические системы доменных имен (приём который Blackhole применяет весьма активно).



    Попадая на заражённый сайт, пользователь перенаправляется на сайт контролируемый злоумышленниками, где с помощью обычных эксплойтов, использующих уязвимости Java, Flash PDF и т.д., и происходит заражение компьютера.



    Эксперты Sophos отметили ещё одну особенность описываемого вредоносного скрипта: Как показали исследования, компьютеры пользователей, попадающих на заражённый сайт, поражают абсолютно разные вредоносные програмы, начиная с бэкдоров и троянцев семейства Trojan-Spy.Win32.Zbot и заканчивая программами требующими выкуп (программа блокирует инфицированный комьютер и выдаёт сообщения с требованиемзаплатить злоумышленникам за его разблокировку).
    По словам представителей Sophos, впервые вышеописанный вредоносный скрипт был обнаружен в начале июня текущего года, в ходе анализа интернет сайтов инфицированных вредоносной программой Mal/Iframe-AF.

    anti-malware.ru
    Эта статья изначально была опубликована в теме форума: BlackHole exploit kit и псевдослучайная генерация доменных имён автор темы CyberWriter Посмотреть оригинальное сообщение
  • Зловред-информер

    Запросы на лечение
    За сутки 40
    За неделю 169
    За месяц 532
    Поймано зловредов
    За сутки 4
    За неделю 134
    За месяц 273
    Новые зловреды
    1. not-a-virus:HEUR:Downloader.Win32.AdLoad.gen
    2. not-a-virus:AdWare.Win32.Agent.kbtm
    3. not-a-virus:HEUR:RiskTool.Win32.Hidap.gen
    4. not-a-virus:AdWare.Win32.Eorezo.gkft
    5. not-a-virus:AdWare.Win32.ELEX.aer
    ТОП за неделю
    Количество обнаруженных вирусов

    Информация предоставлена КиберХелпером
  • Последнее на форуме

    poliprint

    Шифровальщик

    Можно посмотреть во вложении

    - - - - -Добавлено - - - - -

    Куда еще можно обратиться?

    poliprint Сегодня, 12:36 К последнему сообщению
    mike 1

    Шифровальщик

    У вас может стоять пробная версия антивируса, а она не подходит для обращения в техподдержку. Хотя на данный момент я думаю что без шансов.

    mike 1 Сегодня, 11:59 К последнему сообщению
    poliprint

    Шифровальщик

    Почему вы решили что нет лицензии? У меня стоит лицензионное ПО. В техподдержку я обратился, но пробую все варианты для расшифровки..

    poliprint Сегодня, 11:47 К последнему сообщению
    mike 1

    Шифровальщик

    А вот не знаю, если у вас нет лицензии на антивирус, то дорога в техподдержку вендора вам закрыта.

    mike 1 Сегодня, 11:42 К последнему сообщению
    poliprint

    Шифровальщик

    А куда мне?

    poliprint Сегодня, 11:37 К последнему сообщению
Page generated in 0.00844 seconds with 56 queries