Náš web byl napaden hackerem

Informace pro všechny, kdo navštívili stránky našeho hlavního webu dne 17.-18. 8. 2008

Hackerovi se podařilo umístit do souborů na našem webu www.ben.cz škodlivý kód, který měl za úkol dostal do vašich počítačů z jeho stránek škodlivý software (malware). Jednalo se o virus, která je znám pod názvem Neosploit. Sofistikovaný útok byl veden z ruského serveru.

Pokud provozujete operační systém Windows 2000/XP a Internet Explorer, je nanejvýš pravděpodobné, že jste si exploit stáhli.

Nyní již náš web běží normálně, veškeré infikované soubory byly odvirovány. Poddoména, na které běží náš eShop shop.ben.cz, nebyla útoky jakkoliv dotčena.

Jak se exploit chová

- Infikované soubory byly typu HTM, HTML, PHP a JS (Javascript). Na konec těchto souborů byl přilepen kód, který zvětšil velikost souborů cca o 2 kB.

  • Škodlivý kód využil přetečení zásobníku pomocí skriptu a uploadoval pomocí skriptu do vašeho počítače další škodlivý software.
  • Nepravděpodobnější umístění je uvedeno níže, názvy souborů a umístění těchto virů však může být díky mutacím různé.
  • Virus zablokuje zobrazování Internet Exploreru (abyste se nedostali na Internet).
  • Patrně hledá citlivá data na disku a odesílá je na Internet z vašeho PC.

Virus Neosploit – soubory na disku

Soubory se uloží do systémového adresáře Windows \system32\, tj. zpravidla do C:\WinNT\system32\. Virus při svém spuštění zároveň nainstaluje driver, jehož jediným úkolem je skrývat EXE soubor (samotný vir), aby nebyl vidět v programech, které zobrazují obsah adresáře na disku (jako např. Windows Explorer, Total Commander a další souborové manažery). Samotný EXE soubor se nainstaluje s náhodným jménem a navíc s jiným datumem, než je aktuální.

Názvy souborů a jejich popis

  • nso12k.sys – driver sloužící k ukrytí viru (běží jako služba Windows)
  • ntos.exe – virus, není vidět, nelze jednoduchým způsobem smazat, datum posunuté zpět (o několik let)
  • cssrss.exe – virus, který je vidět a lze smazat, může být i jiného názvu, datum aktuální

Jaký antivir pomůže

  • NOD32 vás patrně zklame
    verze ke dni 18. 8. 2008 viděla pouze uzamčený soubor ntos.exe – podívejte se ZDE
  • AVG by měl pomoci
  • Při jakékoliv nedůvěře uploadujte podezřelý soubor na server VirusTotal.com, který provede detailní analýzu více než dvaceti antivirovými programy.
    Podívejte se na výsledky analýzy: cssrss.exe (kopie protokolu ZDE), ntos.exe (kopie protokolu ZDE).

Odvirování bez antivirových programů

Komponenty viru lze najít v registrech Windows (spusťte z příkazové řádky regedit.exe)

  • nso12k.sys – HKEY_Local_Machi­ne\System\Con­trolSet001\Ser­vices\Driver a také ..\ControlSet002\..
  • cssrss.exe – HKEY_Local_Machi­ne\Software\Mi­crosoft\Window­s\CurrentVersi­on\Run\
  • ntos.exe – HKEY_Local_Machi­ne\Software\Mi­crosoft\Windows NT\CurrentVer­sion\WinLogon\
    Figuruje jako druhý parametr na řádce UserInit. Je-li aktivní, po smazání se opět v klíči objeví (kontroluje sám sebe). Pomůže nabootování do jiného operačního systému (např. z jiného disku), kde soubor v původních Windows smažete.

Prevence

  • Nepoužívejte k brouzdání po webu Internet Explorer, ale raději osvědčený Mozilla Firefox
  • Jeden antivirový program nestačí – používejte kombinaci alespoň dvou.
  • Pravidelně skenujte svůj disk
  • Pravidelně aktualizujte systém Windows
  • Nepoužívejte trialverze nebo freeware !!! (přehrávače, utility,…).
    I když za software zaplatíte, není to zárukou kvalitního software bez Trojských koňů nebo Malware. Zvláště neplaťte kartou, na oplátku vám vyčistí dokonale účet.
  • Pokud už nějaký „free soft“ chcete použít, tak okamžitě po instalaci:
    - spusťte antivirovou kontrolu souborů
    - pošlete jej na rozbor do VirusTotal.com

Poděkování

Za upozornění a pomoc děkujeme technikovi z firmy AVG, kterému se s problémem s našimi stránkami svěřil jeden jeho známý (naštěstí používal AVG, takže se mu nic nestalo).

Omluva

Všem čtenářům našeho webu se za způsobené těžkosti omlouváme.
Ačkoliv byla naše zabezpečení silná, hackery patrně lákal vysoký Google Pagerank našich stránek a hlavně eShop (do kterého se však nedostal). Již nyní jsme přijali další opatření k zamezení podobných aktivit. Do budoucna budeme muset do zabezpečení investovat daleko více prostředků. Je to dalším důkazem, že se útokům nevyhnou ani české firmy, které mají zaběhlé eShopy.


 



Úterý, 19. 8. 2008 03.31 | Administrátor webu

Vyhledávání

Kategorie


Partnerství pro realizaci ESF
Nabízíme partnerství pro realizaci ESF



Elektrika.cz

Elektrika.cz



Vesmír

časopis Vesmír



Elektronika

Elektronika



časopis DPS AZ

Jazyky

Amper 2024