This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Как Tumblr червь распространился так быстро

Filed Under: Featured, Malware, Social networks, Spam, Vulnerability

Tumblr червя Несмотря на Tumblr теперь очистке страниц, которые были затронуты червь сегодняшнего , SophosLabs смог кратко исследовать, как распространения инфекции.

Похоже, что червь воспользовался reblogging функция Tumblr, а это означает, что любой, кто был зарегистрирован в Tumblr будет автоматически Переблог инфекционных поста, если они посетили один из нарушителей страниц.

Каждый пострадавших сообщение было несколько вредоносный код, внедренный в них:

Код с вредоносными Tumblr сообщение

Строка Base 64 был фактически закодированы JavaScript, спрятанные внутри IFRAME, который был невидимым для невооруженного глаза, что вытащил содержимое из URL-адреса. После декодируется, намерение код становится более ясной.

Код, используемый Tumblr червя

Этот код объясняет, почему некоторые пользователи видели всплывающее сообщение, казалось бы, ближайшие из Tumblr:

Всплывающие сообщения

Если вы не вошли в Tumblr, когда ваш браузер посетил URL, то он просто перенаправит вас на стандартную страницу входа в систему. Однако, если ваш компьютер был зарегистрирован в Tumblr, это приведет к содержанию GNAA время реблог на свой Tumblr.

Reblogged post on Tumblr

(Кстати, Sophos сейчас защитить клиентов путем блокирования доступа к strangled.net URL)

Это не должно было бы возможно для кого-то, чтобы получить возможность отправлять таких вредоносных JavaScript в Tumblr пост - наше предположение, что нападавшие успели обходить защиту Tumblr путем маскировки своего кода через Base 64 кодирования и внедрения его в SRC = "Данные" атрибут тега.

Благодаря SophosLabs эксперт Fraser Howard за его помощь в этой статье.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Graham Cluley is an award-winning security blogger, and veteran of the anti-virus industry having worked for a number of security companies since the early 1990s. Now an independent security analyst, he regularly makes media appearances and gives computer security presentations. Send Graham an email, subscribe to his updates on Facebook, follow him on Twitter and App.net, and circle him on Google Plus for regular updates.