Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Trükkös redirect

2012.07.06. 14:08 | detritus | 1 komment

A "Printer Bomb"-ként ismert Trojan.Milicenso nevű kártevő azért kapta ezt a megtisztelő nevet, mert nyomtatók számára generál sok-sok jobot, ami miatt szerencsétlen printerből elfogy a papír. Ami miatt viszont érdekes lehet, az a mód, ahogyan igyekeznek közkinccsé tenni.

Az ismeretlen készítők megtörnek valami weboldalt, mely segítségével át kívánják irányítani a gyanútlan látogatót a malware-t konkrétan terjesztő oldalukra. Ez eddig oké, az átirányítás furfangos. Lecserélik a .htaccess fájlt, ami a redirectet végzi. Az eredeti .htaccess-ben az utolsó sor után betesznek 800 soremelés, következnek a támadó utasításai, majd megint 800 üres sor (figyelmetlen adminisztrátor simán átsiklik felette). Az átirányítás csak az alábbi feltételek együttes teljesülése esetén történik meg:

  • a gyanútlan látogató első alkalommal látogatja az oldalt
  • a gyanútlan látogató linkre kattintott, ami származhat pl. keresőtalálatból, közösségi oldalról, emailből, de nem lehet bookmarkból meghívott vagy copypastelt az url
  • a gyanútlan látogató windowst használ
  • a gyanútlan látogató valamely elterjedt böngészőt használja; keresőbotok kizárva

Kaoru Hayashi bejegyzése alapján eddig legalább 4000 kompromittált oldalt találtak ezzel a .htaccess-szel, a módszert 2010 óta használhatják. Azt, hogy mely kártékony oldalra történjen az átirányítás korábban csak pár havonta cserélték, idén viszont már szinte naponta váltogatják, igyekezvén kibújni a blacklistekből.

Szorgalmi feladat: ez egy kicsit mélyebbre néz ugyanezen malware lelkivilágába. Ebből látszik, hogy azért nem csak nyomtatni tud.

Címkék: malware htaccess

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hunger 2012.07.06. 14:20:04

"a gyanútlan látogató linkre kattintott, ami származhat pl. keresőtalálatból, közösségi oldalról, emailből, de nem lehet bookmarkból meghívott vagy copypastelt az url"

Magyarul aki szűri a HTTP Referer headert azt nem irányítják át... :)