This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Como o worm se espalhou tão rapidamente Tumblr

Filed Under: Featured, Malware, Social networks, Spam, Vulnerability

Verme Tumblr Embora Tumblr é agora de limpeza-up páginas que foram afetadas por vírus de hoje , SophosLabs foi capaz de explorar brevemente como a propagação da infecção.

Parece que o worm se aproveitou da característica do Tumblr reblogging, o que significa que qualquer um que foi registrado em Tumblr, automaticamente, reblog o post infeccioso, se eles visitaram uma das páginas ofensivas.

Cada post afetado tinha algum código malicioso embutido dentro deles:

Código malicioso de um post Tumblr

A seqüência de Base 64 foi codificado JavaScript, escondido dentro de um iFrame que era invisível a olho nu, que se arrastou conteúdo de uma URL. Uma vez decodificada, a intenção do código torna-se mais clara.

Código utilizado pelo verme Tumblr

Este código explica porque alguns usuários viram uma mensagem pop-up, aparentemente vindo do Tumblr:

Mensagem pop-up

Se você não estiver logado no Tumblr quando o navegador visitou a url, seria simplesmente redireccionado para a página de login padrão. No entanto, se o seu computador foi conectado ao Tumblr, isso resultaria no conteúdo GNAA sendo reblogou em seu Tumblr própria.

Reblogged post on Tumblr

(A propósito, a Sophos está agora protegendo os clientes, bloqueando o acesso para a url strangled.net)

Ele não deveria ter sido possível para alguém postar JavaScript malicioso, em um post Tumblr - nossa hipótese é que os atacantes conseguiram contornar as defesas do Tumblr, disfarçando o seu código através de Base 64 codificação e incorporá-lo em um = src "de dados:" atributo de marca.

Graças a SophosLabs especialista Fraser Howard pela sua ajuda com este artigo.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Graham Cluley runs his own award-winning computer security blog, and is a veteran of the anti-virus industry having worked for a number of security companies since the early 1990s. Now an independent security analyst, he regularly makes media appearances and gives computer security presentations. Send Graham an email, subscribe to his updates on Facebook, follow him on Twitter and App.net, and circle him on Google Plus for regular updates.