Как минимум несколько часов с главной страницы портала http://portal.opera.comосуществлялась атака
drive-by с использованием эксплойт-пака Blackhole.
Вредоносный скрипт внедрили на сайт известным способом —
с помощью рекламного баннера через постороннюю рекламную сеть. Таким способом
уже неоднократно заражали сайты российских СМИ и многие другие ресурсы, но
портал Opera пострадал впервые.
Код в баннере открывал фрейм, куда загружается вредоносный
контент из внешнего источника.
В случае с сайтом Opera загружался скрипт in.cgi с сайта g[цензура]750.com,сообщает антивирусная компания BitDefender.
В случае с сайтом Opera загружался скрипт in.cgi с сайта g[цензура]750.com,сообщает антивирусная компания BitDefender.
С помощью эксплойт-пака Blackhole проверялись уязвимости
на компьютерах пользователей и, в случае наличия таковых, загружался свежий,
недавно скомпилированный вариант зловреда ZBot
(Trojan.Zbot.HXT). Он загружался
с российского FTP-сервера, скорее всего, тоже ставшего жертвой взлома. Из-за
неправильной конфигурации FTP тот позволил посторонним лицам разместить
вредоносные файлы на своём хостинге.
Компания Opera узнала о
заражении вчера, после публикации пресс-релиза BitDefender. В качестве
временной меры она временно отключила рекламу на сайте.
Комментариев нет:
Отправить комментарий