Blogosphere News lapās JS\Wonka trojāns?

Šodien iebridu kaut kādā lapā Blogosphere News, kad pēkšņi manā priekšā izleca šāds brīnums.

Nepaspēju i ne acis pamirkšķināt, ka jau kāds trojāns nogalināts. Automātā uzmetu acis pēdējiem atvērtiem tabiem un pamēģināju pārlādēt pēdējās lapas. Rezultātā atkal izleca tas pats paziņojums.

Papētīju sīkāk to lapu, bet neko aizdomīgu neatradu, ja neskaita šos nesaprotamos simbolus.

Bet tas trojāns ir novērojams tikai detalizētajā skatā. Piemēram, šajā rakstā par WordPress tēmu. Uzmanību, tur var būt vīruss! Bet var arī nebūt. 🙂

Spriežot pēc šī apraksta, tas nav bīstams vīruss.

JS.Wonka is a generic detection of web pages or e-mail messages that contain a certain functionality for encrypting scripts that may have malicious intent. This does not necessarily mean that a virus has been found.  It merely means that HTML code was found which attempts to activate additional executable code without the user’s express permission.

Īpašu uzmanību būtu jāpievērš šai daļai.

Note: this detection may be triggered by merely visiting a web page that contains malicious code. It does not necessarily mean your machine has been compromised.

Tāpēc es tik droši te plātos. 🙂

12 thoughts on “Blogosphere News lapās JS\Wonka trojāns?

  1. smaidi

    tiko iztīriju kompi no trojāņiem….uzradās vēl viens….es tur neiešu kur viņu var dabūt…es labāk aiziešu citur….kaut kā atkal negribas rakņāties par netu, lai atrastu kā to var izdēst…jo bieži vien jaunus vīrusus ANTIVIRUSņIKI vēl neatpazīst….

    Atbildēt
  2. MarisN

    Da ja paskatās tās lapas sourci, tad pašās beigās ir JavaScript, kurš rezultējas ifreimos, kuri norāda uz *.fake.hu lapām. Nemaz nemēģināju tās vērt vaļā, jo dubulta unescape() un String.fromCharCode lietošana vien jau norāda uz hostējamo saturu. Ņemot vērā, ka FF bija atslēgta JS izpilde, paliek atklāts jautājums kā tas JS kods bija nonācis tajā Blogosphere lapā, jo tas nevarēja tur nonākt lapas ielādes laikā (t.i. klienta pusē) – paliek tik servera puse…

    Atbildēt
  3. BlackHalt

    Tas tik nozīmē to, ka tas Blogosphere News ir pwned.

    Reku JS dekoderis:
    http://scriptasylum.com/tutorials/encdec/encode-decode.html

    Atbildēt
  4. CooLynX Raksta autors

    Patiesībā šis bija viens no gadījumiem, kad pašā lapā ir ievietots slikts kods. Šādas lapas arī Latvijā ir atrodamas.

    Es tikai nevaru saprast kā viņas pwno.

    Atbildēt
  5. BlackHalt

    Nu agrāk skaļi defeisoja, tagad pa kluso ieliek kādu kodiņu. G2G (Pligg vuln).

    Kaut gan pēc tās lapas spriežot, tik pat labi paši ielika to kodu.
    Vienīgi, paši diez vai liktu aiz taga.

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *