Перейти к содержанию
AM_Bot

Вредоносный скрипт блокирует браузеры на iPhone, iPad и iPod touch

Recommended Posts

AM_Bot

27 октября 2011 года

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — зафиксировали ряд обращений владельцев планшетных устройств iPad, обеспокоенных появлением окон, блокирующих нормальную работу браузера Safari и других браузеров при посещении ряда веб-сайтов. Проведенное специалистами «Доктор Веб» расследование выявило, что причиной появления этих окон является встроенный злоумышленниками в некоторые веб-страницы вредоносный сценарий на языке JavaScript.

Компания «Доктор Веб» ранее уже сообщала об аналогичной угрозе для мобильных устройств, работающих под управлением ОС Android.

В случае с устройствами на базе iOS речь также идет о встроенном в веб-страницы сценарии на языке JavaScript, демонстрирующем при открытии ряда сайтов всплывающее окно с требованием отправить на указанный номер платное СМС-сообщение для доступа к данному интернет-ресурсу. Нажатие кнопок «ОК» или «Отмена» не приводит к закрытию окна, а перезапуск браузера влечет за собой его повторное открытие, поскольку, в частности, Safari автоматически восстанавливает последнюю завершенную сессию.

IMG_0198_mini.png

IMG_0200_min.png

Как и в случае с ОС Android, способ противодействия данной угрозе довольно прост: пользователям устройств на базе iOS достаточно открыть системный апплет «Настройки», перейти на вкладку Safari, выбрать пункт «Удалить файлы cookie и данные», после чего нажать во всплывающем окне кнопку «Очистить». В том же списке следует воспользоваться пунктом «Очистить историю», для того чтобы запретить Safari возобновлять ранее прерванную сессию. Кроме того, можно открыть новую вкладку Safari из любого другого приложения (например, воспользовавшись пунктом меню «Перейти на сайт производителя» или открыв сайт iTunes), после чего закрыть в Safari все остальные вкладки, включая страницу с вредоносным скриптом.

Сложности могут возникнуть с другими браузерами для iOS, доступ к настройкам которых открывается из окна самого браузера, а не из системного апплета «Настройки». Если в подобных программах отсутствует возможность очистки кеша и журнала извне самого приложения, пользователю могут потребоваться более серьезные меры для устранения описанной проблемы, вплоть до переустановки браузера. За точными инструкциями необходимо обратиться к документации соответствующего ПО.

Следует отметить, что вредоносные сценарии не проверяют user-agent клиента, и потому аналогичное окно открывается в любых браузерах с поддержкой JavaScript, работающих под управлением любой операционной системы. Адреса содержащих подобные сценарии сайтов добавлены в базы родительского контроля Dr.Web и списки сайтов, распространяющих вирусы.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

http://www.anti-malware.ru/forum/index.php...st&p=144214

Молодцы! 5 баллов.

Только сами бы предложенный совет бы попробовали бы по очистке куки, истории и кеша...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lobzik

Зачем им это пробовать? Естественно статья писалась чисто с потолка а скриншоты сташили лично у Данилки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Естественно статья писалась чисто с потолка.

Вот и я так думаю. Так как это Н Е П О М О Г А Е Т! (по крайней мере со случаем, по которому я тут скрины выкладывал) :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Слушайте, так на скриншоты надо теперь наносить водяной знак, чтобы их не тырили? Прямо по всему полю, по диагонали? Это же похоже на нарушение авторский прав? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Далее:

при открытии ряда сайтов всплывающее окно

Данное окно появляется при открытии любых сайтов. :) А не ряда.

Слушайте, так на скриншоты надо теперь наносить водяной знак, чтобы их не тырили? Прямо по всему полю, по диагонали? Это же похоже на нарушение авторский прав? :lol:

Не, скрины не мои. Мои скрины тут: http://www.anti-malware.ru/forum/index.php...st&p=144209 они бы их не выложили. Смотри адрес в адресной строке. Они такое бы не допустили. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lobzik
Вот и я так думаю. Так как это Н Е П О М О Г А Е Т! (по крайней мере со случаем, по которому я тут скрины выкладывал) :facepalm:

Я солидарен с тобой! Я пожалуй сделаю дабл :facepalm: в знак солидарности!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Т.е. я правильно понимаю, что это заражение системы чем-то, а не скрипты на некоторых страницах, отображающие эти окна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Т.е. я правильно понимаю, что это заражение системы чем-то, а не скрипты на некоторых страницах?

Валер, яб не сказал бы, что Всей системы. Тут скорее "заражение" (если это можно так назвать) Safari, но скажу сразу - со случаем, с которым я сталкивался, очистка куков, кеша, истории и перезагрузка не помогла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Мда, надо было мне тут в блоге про это еще 20 октября написать. :) Но да ладно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Co6@K@

Ой, а у меня сработало!

Вот и я так думаю. Так как это Н Е П О М О Г А Е Т! (по крайней мере со случаем, по которому я тут скрины выкладывал) facepalm.gif

Danilka, вы не расстраивайтесь! Я тоже плохо разбираюсь в компьютерах, но у меня все получилось!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

О, боты Dr.Web набежали. Куда пойти дорогу знаете..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Сложности могут возникнуть с другими браузерами для iOS, доступ к настройкам которых открывается из окна самого браузера, а не из системного апплета «Настройки». Если в подобных программах отсутствует возможность очистки кеша и журнала извне самого приложения, пользователю могут потребоваться более серьезные меры для устранения описанной проблемы, вплоть до переустановки браузера. За точными инструкциями необходимо обратиться к документации соответствующего ПО.

Фантазеры, блин. "Если нет возможности очистки", "если автоматически восстанавливает последнюю завершенную сессию", если..., если.., если... А какие у нас альтернативные барузеры-то есть? TrendMicro, McAfee, BlueCoat, BSecure... :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Вот и я так думаю. Так как это Н Е П О М О Г А Е Т! (по крайней мере со случаем, по которому я тут скрины выкладывал) :facepalm:

Дейвайс брейкнутый?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Дейвайс брейкнутый?

No.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

хммм. кто то заюзал эксплойты для джейла в полезных целях... или просто жава скрипт?

принудительно закрыть браузер, открыть в офлайне? вообще сафари перечитывает страницы. если сети не будет то не должно подгрузиться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
хммм. кто то заюзал эксплойты для джейла в полезных целях... или просто жава скрипт?

принудительно закрыть браузер, открыть в офлайне? вообще сафари перечитывает страницы. если сети не будет то не должно подгрузиться?

Олег, уже Х.З. Выдавало сразу при загрузке ЛЮБОГО сайта, например нашего. Но человек решил траблу просто обновив до iOS5, можно было бы и вернуться к заводским настройкам (100% помогло бы) или восстановить предыдущие через iTunes, но у человека был ооочень старый бекап.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
А какие у нас альтернативные барузеры-то есть? TrendMicro, McAfee, BlueCoat, BSecure... :)

Firefox, Опера. Например мне Опера нравиться, намного шустрее того же Сафари. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
    • demkd
      Если пишет что файлов нет то так оно и есть, по пути в принципе видно, что их там точно быть не может.
      Проблема же в том что при запуске под SYSTEM, API windows не способен правильно разбирать некоторые ярлыки, где не указан абсолютный путь, такие ярлыки меняют цель в зависимости от того под каким пользователем работает конкретный процесс, зачем это сделал microsoft для меня загадка.
      Единственное решение - это написать api для разбора любых ярлыков с нуля и добавить еще нехилую надстройку для анализа относительных путей в них, но это довольно сложная задача и на данный момент реализована лишь в малой части и скорее всего никогда не будет реализована на 100%.
      Потому если хочется удалить ссылки на отсутствующие объекты имеющие ярлыки то нужно запускаться под текущим пользователем, проблем будет меньше... если пользователь один Все системные файлы имеют внешнюю эцп и вполне определенные имена.
    • PR55.RP55
      uVS  в Windows 7 при запуске в режиме: Запустить под LocalSystem ( максимальные права, без доступа к сети ) Не видит пути к реально существующим объектам типа: Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\CALIBRE-PORTABLE\CALIBRE PORTABLE\CALIBRE-PORTABLE.EXE
      Имя файла                   CALIBRE-PORTABLE.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USERS\USER\DESKTOP\calibre-portable.exe - Ярлык.lnk
      ---------------------                 Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\START.EXE
      Имя файла                   START.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USER\USER\DESKTOP\start.exe - Ярлык.lnk
      --------- Как результат удаление всех этих ярлыков. + Глюки если программа была на панели задач. Пусть uVS пишет в ИНФО. откуда _реально получена подпись.                                 
    • demkd
      подпись userinit в catroot и VT естественно такие подписи проверить никак не сможет.
    • PR55.RP55
      C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T.  ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128    
×