infopraca.pl infekowała odwiedzających

dodał 12 listopada 2013 o 14:56 w kategorii Drobiazgi  z tagami:

Osoby, które wczoraj lub dzisiaj przed południem odwiedziły serwis infopraca.pl i jednocześnie nie korzystały z przeglądarek ze zaktualizowanymi wtyczkami, mogły paść ofiarą złośliwego oprogramowania.

Obecnie próba wejścia na stronę infopraca.pl owocuje ostrzeżeniem od Google o możliwej infekcji. Analiza kodu strony nie wskazuje na żadne „dodatkowe” atrakcje – być może złośliwy kod został już usunięty. Spróbujmy zatem ustalić, jak sytuacja wyglądała dzisiaj rano. Z pomocą przyjdzie nam serwis urlquery.net.

Porównajmy działanie strony w raporcie z 9:38 oraz raporcie z godziny 11:41.

Analiza z godziny 9

Analiza z godziny 9:38

Analiza z godziny 11

Analiza z godziny 11:41

Jak widać strona o godzinie 11:41 nie sięgała do jednego zasobu z domeny questforworld.com, wczytywanego o godzinie 9:38. Co to za link? W raporcie możemy znaleźć pełne odwołanie:

Poszukajmy zatem informacji o występowaniu podobnych linków. W wynikach widzimy wpis użytkownika Wykopu sprzed 5 dni, który wskazuje na znalezienie identycznego złośliwego linka na stronie niedziela.pl. Ten sam link był również analizowany w serwisie urlquery.net 7 dni wcześniej.

Pobierany z serwera plik JS wygląda następująco:

Wygląda na to, że jego funkcją jest otwarcie kolejnego linka. Kto z Czytelników napisze kolejny etap analizy?

Za sygnał dziękujemy Bartoszowi