Exploit Aurora, czyli o głośnej luce w Internet Explorerze od środka
Mimo wydania przez Microsoft odpowiedniej poprawki, nie słabnie fala ataków i zamieszania wywołana wykryciem luki w Internet Explorerze (wersje od 5.5 do 8). Specjaliści z Trend Micro powiadomili, że otrzymują liczne alerty związane z atakami exploita na tę podatność i z pobieraniem przez niego trojana Hydraq, a także licznych innych szkodników na przejęte maszyny. Pierwotnie ataki z wykorzystaniem tej luki były tzw. atakami celowanymi, wymierzonymi przeciwko konkretnym adresatom – jak wiadomo jedną z ofiar exploita Aurora były konta e-mailowe chińskich dysydentów, zakładane w usłudze Gmail. Jednak wraz z upowszechnieniem informacji o atakach i tym samym o luce, w Sieci zaczął się mnożyć złośliwy kod wymierzony przeciwko wszystkim.
Na początku użytkownik otrzymuje wiadomość kierującą do adresów URL zarażonych exploitami. Adresy te są hostowane m.in. w Chinach, Korei, Indiach oraz niestety także w naszym kraju. Szkodliwa wiadomość może pojawić się w postaci spamowego e-maila, albo też komunikatu wysłanego za pośrednictwem komunikatora internetowego.
Diagram poniżej ilustruje taki właśnie scenariusz ataku:
Droga wykorzystująca JS_DLOADER.FIS pojawiła się jako pierwsza, następnie do ataków zaczęto wykorzystywać JS_ELECOM.C i jego późniejsze warianty (obecnie jest to duet JS_ELECOM.SMA i JS_ELECOM.SMB), które wykorzystują exploit na najnowszą podatność w Internet Explorerze, aby wreszcie załadować do zaatakowanej maszyny trojana Hydraq.
Badacze z Symanteka zamieścili natomiast na swoim blogu interesującą analizę tego exploita, którą przetłumaczyliśmy dla Was i zamieszczamy poniżej:
Na stronie głównej szkodliwego adresu znajduje się prosty kod w JavaScripcie, którego zadaniem jest odszyfrowanie ciągu zaszyfrowanych bajtów:
«poprzednia 1 2 3 następna »
Polecamy
Warto przeczytać
Reklama
Komentarze
Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka
(słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.
Popularne
MSWiA zamówiło narzędzia do „złamania” Tora i podsłuchiwania internautów. Czy złamało przy tym prawo?
89
Korea Północna: korzystasz z telefonu komórkowego? Jesteś więc zbrodniarzem wojennym
5
Nowa polityka prywatności Google'a już za miesiąc wejdzie w życie. Mamy się czego bać?
16
Firefox 10 już jest. Wiele atrakcji dla programistów, użytkownicy raczej nic nie zauważą
9
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1451
Linux wypiera z korporacyjnych serwerów już nie tylko Uniksy, ale i Windows
11
Źle się dzieje z Chrome, ze stabilnością coraz gorzej. Gdzie się podziała słynna izolacja procesów?
23
-
MSWiA zamówiło narzędzia do „złamania” Tora i podsłuchiwania internautów. Czy złamało przy tym prawo?
89
![[Aktualizacja] Facebook zablokował Demotywatory.pl. W czym zawiniły?](/files/groups/editors/internet/2011_11/demotywatory-30x22.jpg)
[Aktualizacja] Facebook zablokował Demotywatory.pl. W czym zawiniły?
36
FBI zamknęło Megaupload. Anonimowi dali się sprowokować. Teraz ich akcja uzasadni potrzebę SOPA?
17
-
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1451
Rząd Tuska zablokował dostęp do tańszych leków z internetowych aptek
61
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
15
„Donald matole, twój rząd dopadną kibole” – hakerska elita przyłącza się do walki z ACTA
23
Społeczność
hipertracker @slawek22, ORM wcale nie musi tworzyć nieoptymalnych kwerend. Poza tym...
Rumcajs Kolejna PRowska ściema Donka. Już mnie krew zalewa.
Artykuł 41...
zalesz o Pan Sławek :)
Patrzę nic się nie zmieniło, w sumie to nic się nie...
slawek22 Jeszcze taka dygresja na poparcie tezy, akurat sobie czytałem o node...-
slawek22 Tylko po co mi 5, 10 albo nawet 15 razy szybszy JRuby skoro całą "moc...
-
pobieraczek.pl zapłacicie wszyscy ;D
-
hipertracker @Tuner, nie rozśmieszaj mnie że PHP jest szybszy od Ruby powołując się te...
- gardius: Dobra hurtownia sportowa (1)
- gardius: Tanie książki gdzie warto kupować? (1)
- Najdmen.pl: PROMOCJA, 500 DOMEN .EU ZA 1 PLN NETTO ! (1)
- VMLine: [Oferta] Serwery VPS Xen-HVM/OpenVZ z darmową administracją (2)
- Marek: Generowanie PDFa (2)
- Marek: problem z menu (2)
- Marek: Własne checkboxy w HTML,CSS (1)
Polecane książki
Praca
Obsługa księgowa z językiem niemieckim-
Tech Support Engineer with fluent English and German, French, Italian or Spanish
-
Młodszy Specjalista w Dziale Należności ze znajomością języka francuskiego
-
Analityk Baz Danych i Systemów Monitorowania
-
Menedżer ds. Klienta Biznesowego
-
Starszy Programista Aplikacji Internetowych/Team Leader
Czytaj Webhosting
Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.
Śledź nas: 
Zarejestruj domenę
Sprawdź dostępność swojej domeny:
| .pl: | 0 zł | .com: | 19.90 zł | |
|---|---|---|---|---|
| .com.pl: | 0 zł | .eu: | 19.90 zł |