Η ιστοσελίδα ανοίγει μια σελίδα HTML που εμφανίζει το μήνυμα «Please wait page is loading…» και ένας κακόβουλος κώδικας ,JavaScript [ Τι είναι αυτό ? ] ανακατευθύνει τους χρήστες σε ένα άλλο κακόβουλο αρχείο javascript.
Το δεύτερο αρχείο JavaScript ( Trojan.JS.Redirector.YF ) ονομάζεται js.js και αποθηκεύεται σε ένα φάκελο με ένα όνομα, που δημιουργείται τυχαία. Φαίνεται ότι αυτό το κακόβουλο αρχείο JS έχει τοποθετηθεί σε πολλούς servers, που φιλοξενούν «καθαρές» ιστοσελίδες, πιθανώς ως αποτέλεσμα κλοπής διαπιστευτηρίων για συνδέσεις FTP.
Αυτό το αρχείο έχει ως μοναδικό σκοπό την ανακατεύθυνση του χρήστη στη τελική σελίδα, όπου πραγματοποιείται και η επίθεση.
Η δεύτερη σελίδα HTML(Trojan.HTML.Downloader.Agent.NBF), στην οποία τελικά φτάνει ο χρήστης εισάγει ένα Java applet (Exploit.Java.CVE-2010-0840.P), γνωστό για την εκμετάλλευση ευπαθειών (CVE-2010-0840), που τώρα χρησιμοποιείται για τη μεταφόρτωση και εγκατάσταση του Zbot (Trojan.Zbot.HTQ) στα ευπαθή συστήματα.
Το Zbot ή Zeus , ZeusBot ή WSNPoem είναι ένα Trojan , που συλλέγει από τα «θύματα» προσωπικά δεδομένα που σχετίζονται με τραπεζικούς λογαριασμούς, διαπιστευτήρια χρηστών, ιστορικό από τις ιστοσελίδες που επισκέπτεται ο χρήστης και άλλες ευαίσθητες πληροφορίες.
Μερικές άλλες μορφές του Trojan μάλιστα, μπορούν να «τραβήξουν» και στιγμιότυπα από την επιφάνεια εργασίας του χρήστη.
secnews.gr
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου