This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Como o worm se espalhou tão rapidamente Tumblr

Filed Under: Featured, Malware, Social networks, Spam, Vulnerability

Verme Tumblr Embora Tumblr é agora de limpeza-up páginas que foram afetadas por vírus de hoje , SophosLabs foi capaz de explorar brevemente como a propagação da infecção.

Parece que o worm se aproveitou da característica do Tumblr reblogging, o que significa que qualquer um que foi registrado em Tumblr, automaticamente, reblog o post infeccioso, se eles visitaram uma das páginas ofensivas.

Cada post afetado tinha algum código malicioso embutido dentro deles:

Código malicioso de um post Tumblr

A seqüência de Base 64 foi codificado JavaScript, escondido dentro de um iFrame que era invisível a olho nu, que se arrastou conteúdo de uma URL. Uma vez decodificada, a intenção do código torna-se mais clara.

Código utilizado pelo verme Tumblr

Este código explica porque alguns usuários viram uma mensagem pop-up, aparentemente vindo do Tumblr:

Mensagem pop-up

Se você não estiver logado no Tumblr quando o navegador visitou a url, seria simplesmente redireccionado para a página de login padrão. No entanto, se o seu computador foi conectado ao Tumblr, isso resultaria no conteúdo GNAA sendo reblogou em seu Tumblr própria.

Reblogged post on Tumblr

(A propósito, a Sophos está agora protegendo os clientes, bloqueando o acesso para a url strangled.net)

Ele não deveria ter sido possível para alguém postar JavaScript malicioso, em um post Tumblr - nossa hipótese é que os atacantes conseguiram contornar as defesas do Tumblr, disfarçando o seu código através de Base 64 codificação e incorporá-lo em um = src "de dados:" atributo de marca.

Graças a SophosLabs especialista Fraser Howard pela sua ajuda com este artigo.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Graham Cluley runs his own award-winning computer security blog at https://grahamcluley.com, and is a veteran of the anti-virus industry having worked for a number of security companies since the early 1990s. Now an independent security analyst, he regularly makes media appearances and gives computer security presentations. Follow him on Twitter at @gcluley