BitDefender: Вредоносный скрипт на сайте Opera

DeffenderНесколько часов подряд с главной страницы портала http://portal.opera.com осуществлялась drive-by атака с использованием эксплойт-пака Blackhole.

Вредоносный скрипт внедрили на сайт известным способом — с помощью рекламного баннера через постороннюю рекламную сеть. Таким способом уже неоднократно заражали сайты российских СМИ и многие другие ресурсы, но портал Opera пострадал впервые.

Код в баннере открывал фрейм, куда загружается вредоносный контент из внешнего источника. На сайте Opera загружался скрипт

  • in.cgi

с сайта

  • g[цензура]750.com


С помощью эксплойт-пака Blackhole проверялись уязвимости на компьютерах пользователей и, в случае наличия таковых, загружался свежий, недавно скомпилированный вариант зловреда ZBot (Trojan.Zbot.HXT). Он загружался с российского FTP-сервера - тоже ставшего жертвой взлома. Из-за неправильной конфигурации FTP тот позволил посторонним лицам разместить вредоносные файлы на своём хостинге.

Как только компания Opera узнала о заражении веб-ресурса, сразу же после этого она отключила рекламу на сайте.


Обновлено (16.11.2012 23:54)