16.11.2012, 16:22
W dniu wczorajszym zautomatyzowany system skanowania Bitdefender odkrył, że złośliwy skrypt ładowany przez adres h**p://portal.opera.com przekierowuje użytkowników do złośliwej strony, która zawiera osławionego "exploita" Blackhole. Prawdopodobnie skrypt został załadowany przez reklamę firmy trzeciej, praktyka ta powszechnie znana jest jako malvertising.
![[Obrazek: trojanek.jpg]](http://pclab.pl/zdjecia/artykuly/vega/2012/listopad/trojanek.jpg)
Ukryty i zakamuflowany kawałek kodu w stronie domowej portalu Opera włącza iframe (element kodu jednego dokumentu HTML, który "dołącza się" do innego"), który ładuje szkodliwą zawartość z zewnętrznego źródła. Jeśli użytkownik Opery nie zmienił domyślnej strony głównej, aktywna szkodliwa treść jest ładowana ze strony (g***750.com/in.cgi), za każdym razem gdy otwierana jest przeglądarka internetowa.
Ta złośliwa strona kryje w sobie zestaw "exploitów" blackhole (np. próbki w pliku PDF uzbrojonego w expliota CVE-2010-0188), które zarażają pechowego użytkownika nowo skompilowanym wariantem Zbota, zidentyfikowanego przez Bitdefendera jako trojan. Zbot.HXT. Trojan Zbot pochodzi z serwera w Rosji, który najprawdopodobniej także padł ofiarą ataku hakerów, pozwalając na nieautoryzowany dostęp poprzez FTP.
Bitdefender wykrywa ukryty skrypt jako Trojan.Script.478548; złośliwa strona ładowana przez portal Opera również została zablokowana, za pomocą systemu blokowania URL w chmurze, od momentu pojawienia się ataku.
Jeśli ktoś ma jakiekolwiek obawy o to, że może być ofiarą tego ataku, to zalecane jest przeskanowanie komputera oprogramowaniem antywirusowym. Wspomniane "robactwo" wykrywa na pewno Bitdefender QuickScan, który można uruchomić z poziomu przeglądarki internetowej. Można go znaleźć pod adresem quickscan.bitdefender.com.
Źródło: Marken
Ukryty i zakamuflowany kawałek kodu w stronie domowej portalu Opera włącza iframe (element kodu jednego dokumentu HTML, który "dołącza się" do innego"), który ładuje szkodliwą zawartość z zewnętrznego źródła. Jeśli użytkownik Opery nie zmienił domyślnej strony głównej, aktywna szkodliwa treść jest ładowana ze strony (g***750.com/in.cgi), za każdym razem gdy otwierana jest przeglądarka internetowa.
Ta złośliwa strona kryje w sobie zestaw "exploitów" blackhole (np. próbki w pliku PDF uzbrojonego w expliota CVE-2010-0188), które zarażają pechowego użytkownika nowo skompilowanym wariantem Zbota, zidentyfikowanego przez Bitdefendera jako trojan. Zbot.HXT. Trojan Zbot pochodzi z serwera w Rosji, który najprawdopodobniej także padł ofiarą ataku hakerów, pozwalając na nieautoryzowany dostęp poprzez FTP.
Bitdefender wykrywa ukryty skrypt jako Trojan.Script.478548; złośliwa strona ładowana przez portal Opera również została zablokowana, za pomocą systemu blokowania URL w chmurze, od momentu pojawienia się ataku.
Jeśli ktoś ma jakiekolwiek obawy o to, że może być ofiarą tego ataku, to zalecane jest przeskanowanie komputera oprogramowaniem antywirusowym. Wspomniane "robactwo" wykrywa na pewno Bitdefender QuickScan, który można uruchomić z poziomu przeglądarki internetowej. Można go znaleźć pod adresem quickscan.bitdefender.com.
Źródło: Marken