Thread-topic: FYI: Хакеры <обходят> защиту по-новому: <укл ончивые атаки>
Совершенствуются методы (детали смотрите в отчете Finjan)
-----------------------------------------------
Новый метод распространения вредоносного кода через веб-страницы обнаружили
специалисты Finjan. Механизм отображения инфицированных страниц сохраняет
IP-адреса посетителей и срабатывает для каждого адреса только один раз, сообщил
Heise-security.co.uk..
При следующем посещении пользователь видит чистую веб-страницу, говорится в
<Докладе тенденций веб-безопасности> за II квартал. Компания назвала этот метод
<уклончивой атакой>.
Однократное отображение вредоносного кода сильно затрудняет возможность
отслеживания источника заражения, а также определения и идентификации
инфицированного сайта антивирусными компаниями, блокирующими страницы по
сигнатурам - уникальным участкам кода, утверждают специалисты Finjan. Они
советуют пользователям не посещать сомнительные сайты и отключать в браузере
выполнение активных сценариев.
-------------------------------------------------
У Finjan есть еще пара интересных моментов
Moreover, evasive attacks can identify the IP addresses of crawlers used by URL
filtering, reputation services and search engines, replying to these engines
with legitimate content (e.g., real estate, news). The malicious code on the
host website accesses a database of IP addresses to determine whether to serve
up malware or legitimate content. As a result, URL filtering, reputation
services and even search engines might mistakenly classify these sites as
legitimate.
In addition to avoiding being "seen" twice in the same place, the latest
versions of the attack framework utilize country filtering which means that the
operator of the malicious code package can selectively decide which countries
(according to IP address) will be served with the malicious code. The use of
this technique shows that the country of origin for the infected user is
important for the malicious code operator since it allows him to target and
focus attacks on specific countries as needed. Additionally, some countries are
blocked in order to minimize the exposure of the malicious code to security
vendors which are known to operate their labs in these countries. While this is
a relatively crude way of segmenting the target audience, it is nonetheless
effective as it forces researchers to deploy their harvesting tools worldwide.
----------------------------
Судя по всему, это Mpack...
