Несмотря на Tumblr теперь очистке страниц, которые были затронуты червь сегодняшнего , SophosLabs смог кратко исследовать, как распространения инфекции.
Похоже, что червь воспользовался reblogging функция Tumblr, а это означает, что любой, кто был зарегистрирован в Tumblr будет автоматически Переблог инфекционных поста, если они посетили один из нарушителей страниц.
Каждый пострадавших сообщение было несколько вредоносный код, внедренный в них:
Строка Base 64 был фактически закодированы JavaScript, спрятанные внутри IFRAME, который был невидимым для невооруженного глаза, что вытащил содержимое из URL-адреса. После декодируется, намерение код становится более ясной.
Этот код объясняет, почему некоторые пользователи видели всплывающее сообщение, казалось бы, ближайшие из Tumblr:
Если вы не вошли в Tumblr, когда ваш браузер посетил URL, то он просто перенаправит вас на стандартную страницу входа в систему. Однако, если ваш компьютер был зарегистрирован в Tumblr, это приведет к содержанию GNAA время реблог на свой Tumblr.
(Кстати, Sophos сейчас защитить клиентов путем блокирования доступа к strangled.net URL)
Это не должно было бы возможно для кого-то, чтобы получить возможность отправлять таких вредоносных JavaScript в Tumblr пост - наше предположение, что нападавшие успели обходить защиту Tumblr путем маскировки своего кода через Base 64 кодирования и внедрения его в SRC = "Данные" атрибут тега.
Благодаря SophosLabs эксперт Fraser Howard за его помощь в этой статье.
![Invisible iFrame drive-by malware attacks explained [VIDEO]](http://sophosnews.files.wordpress.com/2012/08/frame-thumb.jpg?w=75&h=75&crop=1)
![Password security infomerical leaves Ellen DeGeneres in disbelief.. and it will you too [VIDEO]](http://sophosnews.files.wordpress.com/2013/04/ellen-thumb.jpg?w=75&h=75&crop=1)
![Can multiple moving cursors really hide your password from spyware and peepers? [VIDEO]](http://sophosnews.files.wordpress.com/2013/03/cursors-thumb.jpg?w=75&h=75&crop=1)
