Pajacyk z trojanem

Polski oddział CERT, zajmujący się reagowaniem na zdarzenia naruszające bezpieczeństwo w sieci, poinformował, że popularna strona www.pajacyk.pl przez kilka godzin była zainfekowana szkodliwym kodem. Osoby ją odwiedzające były informowane o tym, że na stronie znaleziono wirusa. Jednak nie wszystkie programy antywirusowy wykrywały to zagrożenie.

W niedzielę, 22 lutego, na kilku forach internetowych pojawiły się informacje, jakoby strona popularnego Pajacyka zawierała w sobie złośliwe oprogramowanie. Informowały o tym osoby, na których komputerze był zainstalowany program antywirusowy firmy Avast.

Jednak Polska Akcja Humanitarna uspokajała twierdząc, że bardziej czułe programy antywirusowe traktują jedną z reklam znajdujących się na Pajacyku jako złośliwe oprogramowanie. PAH twierdził również, że komputery użytkowników są w pełni bezpieczne.

Tymczasem sprawie przyjrzał się dokładniej polski oddział organizacji CERT. Przeprowadzenie dokładnej analizy potwierdziło, że rzeczywiście strona Pajacyka stanowi zagrożenie dla odwiedzających ją internautów. Okazało się bowiem, że do kodu strony został doklejony skrypt JavaScriptu. Przekierowywał on odwiedzających na inną stronę infekującą komputer trojanem ZBot. Jego kod został zaciemniony, co miało utrudnić jego analizę oraz oszukać silniki antywirusowe. Po jego odkodowaniu okazało się, że zawiera on ukrytą ramkę IFRAME z adresem strony, która przekierowuje do tej zawierającej exploit. Również system HoneyPot potwierdził, że strona Pajacyka zawiera złośliwe oprogramowanie.

Rezultaty badania strony www.pajacyk.pl

Rezultaty badania strony www.pajacyk.pl

Problem został usunięty dopiero w poniedziałek, około godziny 10:30. Jednak ze statystyk wynika, że tylko w niedzielę witrynę odwiedziło prawie 100 tysięcy użytkowników. Nie wiadomo ile z nich padło ofiarą znajdującego się na niej trojana, ale skala problemu może być poważna.

CERT zaleca wszystkim osobom odwiedzającym w tym czasie serwis Pajacyka, aby wykonały pełne skanowanie swojego systemu za pomocą jednego ze skutecznych programów antywirusowych. Ich lista znajduje się na stronie usługi Virus Total. Jak informuje CERT w ochronie komputera przed złośliwym oprogramowaniem mogą pomóc wtyczki do przeglądarek blokujących takie elementy stron. Jedną z nich jest NoScript przeznaczony dla przeglądarki Firefox.

Co to jest HoneyPot?#

HoneyPot to system, na który składają się co najmniej jeden komputer, dane oraz wyodrębniony obszar sieci lokalnej. Jego zadaniem jest imitowanie prawdziwej sieci. W rzeczywistości jest on odizolowany i odpowiednio zabezpieczony. Z zewnątrz wygląda tak, jakby zawierał informacje lub zasób, który mógłby stanowić dla potencjalnego hakera cel ataku.

Więcej informacji na temat ataku można uzyskać na stronie CERT-u.


Zobacz również