Embora Tumblr é agora de limpeza-up páginas que foram afetadas por vírus de hoje , SophosLabs foi capaz de explorar brevemente como a propagação da infecção.
Parece que o worm se aproveitou da característica do Tumblr reblogging, o que significa que qualquer um que foi registrado em Tumblr, automaticamente, reblog o post infeccioso, se eles visitaram uma das páginas ofensivas.
Cada post afetado tinha algum código malicioso embutido dentro deles:
A seqüência de Base 64 foi codificado JavaScript, escondido dentro de um iFrame que era invisível a olho nu, que se arrastou conteúdo de uma URL. Uma vez decodificada, a intenção do código torna-se mais clara.
Este código explica porque alguns usuários viram uma mensagem pop-up, aparentemente vindo do Tumblr:
Se você não estiver logado no Tumblr quando o navegador visitou a url, seria simplesmente redireccionado para a página de login padrão. No entanto, se o seu computador foi conectado ao Tumblr, isso resultaria no conteúdo GNAA sendo reblogou em seu Tumblr própria.
(A propósito, a Sophos está agora protegendo os clientes, bloqueando o acesso para a url strangled.net)
Ele não deveria ter sido possível para alguém postar JavaScript malicioso, em um post Tumblr - nossa hipótese é que os atacantes conseguiram contornar as defesas do Tumblr, disfarçando o seu código através de Base 64 codificação e incorporá-lo em um = src "de dados:" atributo de marca.
Graças a SophosLabs especialista Fraser Howard pela sua ajuda com este artigo.
![Password security infomerical leaves Ellen DeGeneres in disbelief.. and it will you too [VIDEO]](http://sophosnews.files.wordpress.com/2013/04/ellen-thumb.jpg?w=75&h=75&crop=1)
![Can multiple moving cursors really hide your password from spyware and peepers? [VIDEO]](http://sophosnews.files.wordpress.com/2013/03/cursors-thumb.jpg?w=75&h=75&crop=1)
