This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Como el gusano se propagó tan rápido Tumblr

Filed Under: Featured, Malware, Social networks, Spam, Vulnerability

Gusano Tumblr Aunque Tumblr es ahora de limpieza hasta las páginas que fueron afectados por el gusano de hoy en día , SophosLabs fue capaz de explorar brevemente la forma en la propagación de la infección.

Parece ser que el gusano aprovechó característica reblogging Tumblr, lo que significa que cualquier persona que se registra en Tumblr automáticamente reblog el post infecciosa si visitaran una de las páginas ofensivas.

Cada poste afectado tenía algún código malicioso incrustado en su interior:

Código de un mensaje malicioso Tumblr

La cadena de base 64 se ha codificado en realidad JavaScript, escondido dentro de un iFrame que era invisible a simple vista, que arrastró el contenido de una URL. Una vez decodificado, la intención del código se hace más clara.

Código utilizado por el gusano Tumblr

Este código explica por qué algunos usuarios vieron un mensaje pop-up, al parecer procedente de Tumblr:

Pop-up mensaje

Si no se ha iniciado sesión en Tumblr cuando el navegador visitó la url, simplemente se le redirigirá a la página de inicio de sesión estándar. Sin embargo, si el equipo se ha iniciado sesión en Tumblr, que se traduciría en el contenido GNAA se reblogueado en su propio Tumblr.

Reblogged post on Tumblr

(Por cierto, Sophos está protegiendo a los clientes por el bloqueo del acceso a la url strangled.net)

No debería haber sido posible que alguien publicar JavaScript malicioso en un mensaje Tumblr - nuestra hipótesis es que los atacantes lograron rodear las defensas de Tumblr por disfrazar su código a través de base 64 codificación y incrustarlo en un src = "data:" etiqueta de atributo.

Gracias a SophosLabs experto Fraser Howard por su ayuda con este artículo.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Graham Cluley runs his own award-winning computer security blog, and is a veteran of the anti-virus industry having worked for a number of security companies since the early 1990s. Now an independent security analyst, he regularly makes media appearances and gives computer security presentations. Send Graham an email, subscribe to his updates on Facebook, follow him on Twitter and App.net, and circle him on Google Plus for regular updates.