Nejrozšířenější hrozby na internetu

[Mc_Murphy]

Již čtvrtý měsíc za sebou kraluje nejrozšířenějším hrozbám na internetu s téměř šestiprocentním podílem škodlivý kód ScrInject.B, který se vyskytuje na podvodných a napadených webových stránkách a automaticky stahuje po jejich návštěvě do počítače další viry. Vyplývá to ze statistik měsíce března antivirové společnosti Eset.

Druhá příčka mezi nejrozšířenějšími internetovými hrozbami patří INF/Autorun. Jde o směs škodlivých kódů šířících se přes vyměnitelná média, nejčastěji USB flashky a externí pevné disky. Na třetím místě se pak umístil virus Iframe.B, jenž přesměrovává internetové stránky na podvodné weby obsahující další počítačové smetí.

Doslova legendou je mezi hrozbami již druhým rokem za sebou zákeřný červ Conficker, který v březnu ovládl s podílem 3,44 % čtvrtou příčku. Zatímco první verze Confickera odkazovala na doménu, která je známá jako centrum šíření spyware a falešných antivirových produktů, aktuální varianta je daleko nebezpečnější.

Nová verze instaluje do počítače další virus, který se jmenuje Waledac. Červ je naprogramován tak, že poté, co se usadí v počítači, se stane PC ovladatelné na dálku a lze jej využít jako součást sítě na rozesílání spamu spolu s falešným programem na ochranu proti virům.

V první desítce se umístily také hrozby JS/Agent, JS/Iframe, Sirefef, Sality, Dorkbot, Redirector. Jejich podíl se pohyboval v rozmezí 1,59 až 2,30 procenta.

- = zdroj = -

[chodnik74]

Ahoj,
četl jsem Ale tak to je nejspíše ze statik ESETu podle nalezených hrozeb, takže to nemusí býti tak přesně, ne?

[ko.librik]

Již čtvrtý měsíc za sebou kraluje nejrozšířenějším hrozbám na internetu s téměř šestiprocentním podílem škodlivý kód ScrInject.B, který se vyskytuje na podvodných a napadených webových stránkách a automaticky stahuje po jejich návštěvě do počítače další viry. Vyplývá to ze statistik měsíce března antivirové společnosti Eset.

Já jsem se trošku kouknul na to první.
První infekci s ScrInject.B, sice asi neaktivní (uloženo v html jako poznámka), jsem našel na

Kód: Vybrat vše

www.hackingtrick.com

ESET detekuje tento kod (tu by to mělo být escapované v html kodu):

Kód: Vybrat vše

<script src="http://www.cpalead.com/mygateway.php?pub=100989&gateid=MTQ4ODMy" type="text/javascript"></script>

Toto si můžete vložit do txt a hodit na virustotal.
Inkludovaný javascript (ten je zase detekovaný kupodivu ESETem jinak, jako JS/TrojanClicker.Agent.NCQ) je ze stránek zabývajících se reklamou, viz info např. tu:

Kód: Vybrat vše

http://www.czemoney.com/forum/cpalead-com-vt45076.html

Takže když shrnu tento konkrétní případ, eset v tomto případě nejspíš chrání uživatele před vyplňováním těch dotazníků toho reklamního webu, tedy přesněji řečeno upozorňuje uživatele, že je na stránce vložen kod, díky kterému má stáhnout prohlížeč javascript ze stránky cpalead.com (samo o sobě toto nebezpečné není, navíc by se nic nedělo, kdyby detekován nebyl, páč samotný javascript je taky detekován). Samotný javascript jsem nezkoumal, odhadem bych řekl, že škodlivý sám o sobě nebude (jak už jsem psal, samotný javascript navíc ESET detekoval už jinak, jako JS/TrojanClicker.Agent.NCQ), nebezpečné v tomto případě je nejspíš jen to, že by tam mohl uživatel poskytnout nějaké informace.
Takže když ScrInject.B vemu z globálu, je to z pohledu Esetu nejspíš nějaký balík různých upozornění na inkludovaný javascript, který má něco společného s ne zcela seriozními praktikami (tahání informací, stahováním programů atd.), každopádně si myslím, že to nejspíš neupozorňuje na kód, který by mohl zneužít nějakou díru (bylo by detekováno jinak), ale že to upozorňuje na kód, kde bude vždy interakce uživatele, aby se vykonalo něco nebezpečného (zadání informací uživatelem, stáhnutí a spuštění programu uživatelem atd.).

To jsem napsal z mého pohledu, třeba to je jinak, ScrInject.B tedy přesně je co? Udělá rozbor někdo znalejší? Já udělal názor jen z jednoho příkladu a z pár různých stránek na virustotal s ScrInject.B.

Já osobně bych se na stránky s ScrInject.B nebál jít a to i bez antiviru (a dokonce i s vyplým adblockem a povoleným javascriptem), stačí vědět co člověk může pouštět za info a kde ... a nestahovat a nespouštět co je člověku vnucováno (*.exe atd.). ... nebo se pletu?
Co nebezpečného by se stalo? Bráno v úvahu, že nebudu pouštět žádné info a nebudu nic stahovat a spouštět (exe a pod.)).

[Vrtule]

Já osobně bych se na stránky s ScrInject.B nebál jít a to i bez antiviru (a dokonce i s vyplým adblockem a povoleným javascriptem), stačí vědět co člověk může pouštět za info a kde ... a nestahovat a nespouštět co je člověku vnucováno (*.exe atd.). ... nebo se pletu?
Co nebezpečného by se stalo? Bráno v úvahu, že nebudu pouštět žádné info a nebudu nic stahovat a spouštět (exe a pod.)).

Ano, tímhle chováním vyloučíte drtivou většinu rizik. Problémy mohou způsobit pouze zranitelnosti prohlížečů, potažmo asi i jejich doplňků. Ty mohou být zneužity k vzdálenému (z pohledu útočníka) spuštění teoreticky libovolného kódu na vašem počítači v kontextu procesu prohlížeče. To se například může stát, jedná-li se o zranitelnost přetečení zásobkíku (ale nejen tuto).

EDIT: oprava quote