Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Pegel teraz w banerach

Jewgienij Asiejew
Kaspersky Lab Expert
Dodany 20 września 2010, 09:07 CEST

Podczas monitoringu trojana Pegel natrafiliśmy na coś, co przykuło naszą uwagę: przekierowania do zainfekowanych stron internetowych zawierających exploit nie pochodziły tylko z zainfekowanych legalnych stron, ale również z reklam we Flashu znajdujących się na legalnych stronach. Jest to dość nietypowe, dlatego postanowiliśmy przyjrzeć się temu bliżej.

Przeglądarka wyświetla reklamy we Flashu, które są wykorzystywane tak samo jak zwykły baner. Jeżeli klikniesz reklamę, znajdziesz się na stronie reklamy.

Jednak po zbadaniu kodu ActionScript reklamy odkryliśmy skrypt, który uruchamia się w momencie załadownia reklamy.

Po wyświetleniu banera na serwerze cyberprzestępców zostaje uruchomiony skrypt i to właśnie on przekierowuje użytkownika na stronę z exploitami. Wygląda na to, że banery statyczne zostały zastąpione bardzo szczególnym rodzajem reklamy we Flashu. Pozostaje tylko pytanie: jak tego dokonano?

Okazało sie, że strony internetowe, które zostały w ten sposób zainfekowane, mają zainstalowaną platformę banerową OpenX. Nowy moduł OpenX został opublikowany w grudniu zeszłego roku - Open Flash Chart 2. Moduł ten zawiera lukę (zidentyfikowaną w wersji beta), która pozwala cyberprzestępcom umieścić na serwerze kod wykonywalny.

Wygląda na to, że twórcy OpenX nic nie wiedzieli o luce. W rezultacie, dziurawa wersja modułu został udostępniona do pobrania, co spowodowało zainfekowanie wielu zasobów (takich jak thepiratebay.org, esarcasm.com oraz tutu.ru) wykorzystujących OpenX oraz dziurowy moduł.

Cyberprzestępcy chcieli mieć pewność, że użytkownicy OpenX nie będą mogli uaktualnić produktu do najnowszej wersji, dlatego przeprowadzili atak DDoS na openx.org. W momencie pisania tego tekstu strona nadal nie działała, działa jednak odsyłacz do nowego pliku dystrybucyjnego, tak więc nowy pakiet można pobrać w tym miejscu.

Jeżeli macie zainstalowany OpenX, uaktualnijcie produkt do nowej wersji lub tymczasowo usuńcie plik admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php z folderu, w którym został zainstalowany OpenX.