Как Tumblr червь распространился так быстро

Tumblr червя Несмотря на Tumblr теперь очистке страниц, которые были затронуты червь сегодняшнего , SophosLabs смог кратко исследовать, как распространения инфекции.

Похоже, что червь воспользовался reblogging функция Tumblr, а это означает, что любой, кто был зарегистрирован в Tumblr будет автоматически Переблог инфекционных поста, если они посетили один из нарушителей страниц.

Каждый пострадавших сообщение было несколько вредоносный код, внедренный в них:

Код с вредоносными Tumblr сообщение

Строка Base 64 был фактически закодированы JavaScript, спрятанные внутри IFRAME, который был невидимым для невооруженного глаза, что вытащил содержимое из URL-адреса. После декодируется, намерение код становится более ясной.

Код, используемый Tumblr червя

Этот код объясняет, почему некоторые пользователи видели всплывающее сообщение, казалось бы, ближайшие из Tumblr:

Всплывающие сообщения

Если вы не вошли в Tumblr, когда ваш браузер посетил URL, то он просто перенаправит вас на стандартную страницу входа в систему. Однако, если ваш компьютер был зарегистрирован в Tumblr, это приведет к содержанию GNAA время реблог на свой Tumblr.

Reblogged post on Tumblr

(Кстати, Sophos сейчас защитить клиентов путем блокирования доступа к strangled.net URL)

Это не должно было бы возможно для кого-то, чтобы получить возможность отправлять таких вредоносных JavaScript в Tumblr пост – наше предположение, что нападавшие успели обходить защиту Tumblr путем маскировки своего кода через Base 64 кодирования и внедрения его в SRC = "Данные" атрибут тега.

Благодаря SophosLabs эксперт Fraser Howard за его помощь в этой статье.