2011. augusztus 23-án került ki az első bejegyzés a Prestashop.com weboldalára és azóta egyre több bejegyzést tárolnak weboldalak, majd a szeged.ws weboldal üzemeltetője kereste fel tárhelyszolgáltatóját, aki ezek után a mai nap este 20 órakor engem. A probléma forrását többen vizsgálgatják, a támadás oka azonban nyomon követhető. A nyitó oldal forrás nézetében az un. lábrészben érhető el ez a jelenség, azoknál akik fertőződtek!
A probléma leírása:
FTP hozzáférést szereztek a szerverhez és az összes javasript-be es ezáltal az index.php án a footer.tpl -be belekerult a fenti javascript kod reszlet és a firewall leblokkalta a weboldalt.
A program végig futtatja a .js fileken a fenti kódsort és a végén kiértékeli az alábbi képen látható urlt-t:
Footer.tpl vulnerability
A felhasználó csupán azt veszi észre, hogy a gépe valamiért nem nyitja meg a weboldalt.
A vírus jelenleg több mint 10.000 számítógépet fertőzött meg 1 hét alatt és rohamosan terjed!
Mit lehet ellene tenni?
Javaslom használj vírusírtót, erre szerintem legalkalmasabb a Kaspersky Internet Security 2012, ami ingyenesen letölthető és 30 napig használható is ezek után. FTP-ként a WINSCP2-t javaslom, vagy a WS FTP az IPSWITCH-től.
Ez esetben is a fertőzés oka maga a felhasználó, aki a fertőzött saját gépével hozza létre az infekciót! Gyakorlatilag, egy jó vírusrtóval az eset védhető lenne!
