A "Printer Bomb"-ként ismert Trojan.Milicenso nevű kártevő azért kapta ezt a megtisztelő nevet, mert nyomtatók számára generál sok-sok jobot, ami miatt szerencsétlen printerből elfogy a papír. Ami miatt viszont érdekes lehet, az a mód, ahogyan igyekeznek közkinccsé tenni.
Az ismeretlen készítők megtörnek valami weboldalt, mely segítségével át kívánják irányítani a gyanútlan látogatót a malware-t konkrétan terjesztő oldalukra. Ez eddig oké, az átirányítás furfangos. Lecserélik a .htaccess fájlt, ami a redirectet végzi. Az eredeti .htaccess-ben az utolsó sor után betesznek 800 soremelés, következnek a támadó utasításai, majd megint 800 üres sor (figyelmetlen adminisztrátor simán átsiklik felette). Az átirányítás csak az alábbi feltételek együttes teljesülése esetén történik meg:
- a gyanútlan látogató első alkalommal látogatja az oldalt
- a gyanútlan látogató linkre kattintott, ami származhat pl. keresőtalálatból, közösségi oldalról, emailből, de nem lehet bookmarkból meghívott vagy copypastelt az url
- a gyanútlan látogató windowst használ
- a gyanútlan látogató valamely elterjedt böngészőt használja; keresőbotok kizárva
Kaoru Hayashi bejegyzése alapján eddig legalább 4000 kompromittált oldalt találtak ezzel a .htaccess-szel, a módszert 2010 óta használhatják. Azt, hogy mely kártékony oldalra történjen az átirányítás korábban csak pár havonta cserélték, idén viszont már szinte naponta váltogatják, igyekezvén kibújni a blacklistekből.
Szorgalmi feladat: ez egy kicsit mélyebbre néz ugyanezen malware lelkivilágába. Ebből látszik, hogy azért nem csak nyomtatni tud.
Hunger 2012.07.06. 14:20:04
Magyarul aki szűri a HTTP Referer headert azt nem irányítják át... :)