Tumblr 웜은 너무 빨리 확산 방법

Tumblr 웜 Tumblr 지금 한 청소 – 업 페이지이지만, 오늘날의 웜에 의해 영향을 , SophosLabs는 간단히 감염 확산 방법을 탐험 할 수있었습니다.

이 웜들이 저작권을 침해하는 페이지 중 하나를 방문하는 경우 Tumblr에 로그인 한 모든 사용자가 자동​​으로 전염성이 게시물을 reblog 것을 의미 Tumblr의 reblogging 기능을 이용한 것으로 나타났습니다.

각 해당 게시물이 그 안에 포함 된 일부 악성 코드를했다 :

악성 Tumblr 게시물의 번호

기본 64 문자열을 실제로 육안으로 보이지 않는했다 IFRAME 안에 숨겨져 자바 스크립트를 인코딩 된, 그 URL에서 콘텐츠를 끌어 냈다. 일단 디코딩, 코드의 의도가 더 분명해진다.

Tumblr 웜에 의해 사용 코드

일부 사용자가 팝업 메시지를 본 이유는이 코드는 겉보기 Tumblr에서 오는 설명 :

팝업 메시지

브라우저가 URL을 방문했을 때 당신은 Tumblr에 로그인하지 않은 경우, 단순히 표준 로그인 페이지로 리디렉션합니다. 컴퓨터가 Tumblr에 로그인 한 경우 그러나, 자신의 Tumblr에 reblogged되는 GNAA 콘텐츠에 나타날 수 있습니다.

Reblogged post on Tumblr

(그건 그렇고, 소포스 (Sophos)는 이제 strangled.net URL에 대한 액세스를 차단할하여 고객을 보호하고 있습니다)

이 Tumblr 게시물에 같은 악의적 인 자바 스크립트를 게시 할 사람 수 말았어야 – 우리의 가정은 공격자가베이스 64을 통해 코드를 위장 인코딩 및 SRC =에 삽입하여 Tumblr의 방어 주위에 치마에 대한 관리이다 "데이터" 태그 속성입니다.

이 기사와의 도움 SophosLabs 전문가 프레이저 하워드에게 감사드립니다.