Что делать с удалением шпионского ПО Nu.nl?

Nu.nl служил вместе с идеальным кодом JavaScript на основе часов, который, по словам экспертов, был специально разработан для заражения посетителей сайта путем запуска невероятного троянского коня. Враги использовали свои серверы только в Индии, где был размещен набор эксплойтов.

Эрик Ломан, разработчик охранной компании SurfRight, написал в Твиттере, что боковая панель новостного сайта скрыта javascript “g.js”. Код используется с помощью Loman, пакета ядерных эксплойтов, активируемого через веб-сервер в Индии. Сценарий эксплойта, который проверял наличие уязвимостей в браузере, а также в популярных плагинах, таких как Flash, а затем в Adobe Reader. Если манипуляция была обнаружена и перенесена на компьютер, то это вредоносное ПО Sinowal, троянский конь российского происхождения, пытающийся похитить постоянно обновляемую банковскую информацию. Sinowal болтается в главном загрузочном секторе и обычно огромен даже каждый раз, когда вы перезагружаете компьютер.

По словам Ломана, у Nu.The nl есть трояны между 23:30 и 12:30 примерно каждый день. Такая продолжительность была выбрана максимально осознанно, так как ближе к полудню сеть привлекает больше посетителей. Сообщалось, что примерно в 12:00 злоумышленники настроили свой текущий код Javascript для другого веб-сайта, чтобы указать, что эксплойт комплекта должен быть размещен. Ломан также заявляет, что в настоящее время есть сообщения о заражении пользователей Windows троянскими программами.

Несомненно, неясно, как злоумышленники запустили код Javascript на сервере веб-сайта. В настоящее время Nu.nl отключил весь код javascript. Также будет доступен исследовательский центр.

Обновление 16:10: Теперь Now.en сообщает, что реальная учетная запись Weday CMS «попала не в те руки». Затем прямо с 11:30 до 12:30 зловред предлагался через соответствующий сайт. Nu.nl предполагает, что, возможно, от функциональности вредоносного ПО удалось избавиться. Кроме того, новые данные для входа предоставляются администраторам и редакторам, а файлы в конечном итоге сохраняются nageplozen. Сайт обещает, что доступное содержимое страницы также будет проверено на наличие явно вредоносного кода.

14 марта, наступающий год, еще один очень естественный день в офисе, когда я изучаю свой огромный список дел и планирую работу на этот день. И в любой обычный день мои дневные посылки внезапно прерываются из-за единственного инцидента. Наши сетевые аналитики в Security Operations Center оказались очень заняты, и эти компании-производители связались с вашим нынешним отделом помощи Intel. SOC был очень удивлен многочисленными инцидентами, которые начались ровно в 11:30 по центральноевропейскому времени. Мы проанализировали сетевые лиды, эксплойт-кит и дополнительно устанавливаемые трояны и обнаружили, что они являются известными компонентами европейской/российско-восточной киберпреступности, известной как эксплойт-кит Nuclear Pack, трояны SmokeLoader и Sinowal/Torpig/Mebroot. Мы связались с SurfRight, чтобы сообщить им, что происходит что-то стоящее, но, к счастью, они действительно работают над этим. Мы встретились на SurfRight неделей ранее и упомянули о проблемах с заражением Sinowal MBR, которые просто не обнаруживаются, а также удаляются большинством современных продуктов для очистки / удаления, они, возможно, также знают об этом и все еще тренируются. Так что это был хороший случай для них потратить на это немного больше времени и с успехом, потому что они действительно смогли добавить обнаружение за очень короткое время и завершить функцию очистки буткита на следующий день. >

Вторая метрика, по-видимому, заключается в том, чтобы посмотреть, какому веб-сайту доверяют в отношении заражения, обычно наблюдаемому на веб-сайтах с большим количеством посетителей в день, причем каждая бактерия связана с рекламой. Возможно, из-за скомпрометированного рекламного сервиса, который перенаправляет большое количество посетителей на эксплойт-кит. В августе 2011 года это было решено для тематического исследования. Эта интересная атака на пакет рекламного сервера OpenX также использовалась для распространения вирусов Sinowal. Еще один популярный метод — приобрести законные объявления, доступные для определенной страны, поэтому, как только рекламодатель проверит легитимность рекламы, измените страницу, чтобы перенаправить туристов на набор эксплойтов для вас. Этот вариант называется вредоносной рекламой. В то время как вредоносная реклама требует денег, часто используются украденные кредитные карты, которые помогают пополнить баланс рекламного аккаунта, чтобы гарантировать множество кликов до того, как баланс будет исчерпан.

Поэтому я начал изучать данные, которые были у меня и моей девушки. Когда я просматриваю всю сеть, трафик приложений не дает мне знать, в каком компромиссе, потому что перефокусировка выходит за пределы DOM домашней страницы, но реферер для большинства наборов, которые работают, часто на самом деле http: //www. nu.nl Из-за предыдущей травмы в августе 2011 года я начал смотреть загруженный письменный контент в моих руках по рекламе сервера. Прошло какое-то время, сайт – это вдумчивый труд, вручную перекапывая все данные на предмет поиска иголки в стоге сена. Ну, я не мог отследить источник заражения, так как наша телефонная песочница показывала, что каждый шмак, связанный с nu.nl, вызывал перенаправление с комплекта для манипуляций. Меня это начало смущать, тут осталось прям одно, когда я обычно сам просматриваю файлы сайта nu.nl, в данный момент ничего не выделялось на главной странице, особенно набор удаленных скриптов, iFrame или hid javascript . Я начал, когда вам нужно было загрузить различные файлы javascript, которые выделялись тем, что у них была дата выпуска специально 11:30:00 CET.

HTTP/1.1 100 ОКСервер: Апач Варьировать: хозяин Последнее изменение: среда, 14 марта, 10:30:00 по Гринвичу 2012 г. Проверить кеш: max-age=86400 Истекает: четверг, 15 марта, следующее 10:31:54 по Гринвичу. Тип контента: Приложение/x-Javascript P3P: policyref=”http://www.nu.nl/w3c/p3p.xml”, CP=”NON DSP COR NID CURa ADMa DEVa PSAa IVAa psda IVDa OUR IND UNI COM NAV INT STA” Длина контента: 2290…

Javascript запутан и имеет простой обфускатор, но если вы обычно просматриваете мысль вручную, ее легко пропустить, учитывая, что javascripts, вероятно, являются файлами, которые часто архивируются для сжатия для исправления пропускной способности. Файл был элементарным, и нас интересовало только то, что он перенаправлял клиентов, что было интересно, потому что он перенаправлял системы специально из Windows Vista/7/8, чтобы помочь вам в отдельном месте в наборе цитирования Nuclear Pack. В то время мы связались с nu.nl, а также отправили неприятный скрипт для локализации, и вскоре после этого один из них был удален. Главная страница показывает, что вы были изменены с помощью g incl.js, а история действительно недавно была добавлена.