LINUX.ORG.RU
ФорумTalks

Баннеры атакуют

 , , ,


0

2

http://www.opennet.ru/opennews/art.shtml?num=45631

При помощи специальной формулы вредоносный JavaScript-код был преобразован в набор пикселей, который накладывался на имеющееся в PNG-файле изображение с корректировкой для наложенных пикселей уровня прозрачности, делающей изменения незаметными, но позволяющей при желании восстановить добавленный набор данных. В рекламные сети добавлялась PNG-картинка с сопутствующим JavaScript-кодом для формирования баннера (многие рекламные сети перешли на HTML5-баннеры и допускают выполнение JavaScript-кода, качество проверки которого оставляет желать лучшего). На первый взгляд код выглядел безобидно, но на деле в процессе обработки баннера восстанавливал спрятанный в него вредоносный JavaScript-блок и передавал ему управление.

Креативно, тут иначе не скажешь.

Deleted

Очень круто. Пользователи модного должны страдать.

Shadow ★★★★★ ()

Кстати привет пользователям, если такие ССЗБ есть, яндекс почты. Недавно увидел и удивился, что баннеры с рекламой встроены в почту (которая открыта по https), прямо в блок слева.

anonymous_sama ★★★★★ ()
Ответ на: комментарий от anonymous_sama

В чем проблема использовать почтовый клиент вместо веб-морды?

Про баннеры подтверждаю. Еще встроены они таким образом, что снести можно только весь блок слева.

ozzee ()

Стеганография проникает в массы.

Tark ★★ ()
Ответ на: комментарий от anonymous00

В данном случае достаточно было бы и RequestPolicyContinued.

WARNING ★★★★ ()
Ответ на: комментарий от anonymous_sama

Недавно увидел и удивился, что баннеры с рекламой встроены в почту (которая открыта по https), прямо в блок слева.

Привет. А эта гадость, кстати, таки заблокирована сейчас из коробки (ублок, все списки, без кастомных), остался только блок новостей. Специально отключал ублок, блок появился но не загрузился, его в свою очередь уматрикс зарезал.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от ozzee

Да я сам удивился, раньше проскакивала, но я редко в морду хожу, по этому забил на неё.

mandala ★★★★ ()
Ответ на: комментарий от Deleted

iframe? Тогда далеко не как flash-баннеры, ейфрейм это просто окошко в котором отображается содержимое другой страницы. На флэш объекты похож канвас и в нем можно читать битмап изображений.
Если речь об этом, то есть вначале в битмап PNG записывают вредоносный код, потом его незаметно извлекают и запускают (а под «плохой проверкой» получается имеется в виду проверка кода со стороны рекламных аудиторов), то это такой чисто технический эксплойт.

uin ★★★ ()

наши первые вирусы были просты...

unt1tled ★★★★ ()
Ответ на: комментарий от uin

iframe?

Оно разве сейчас в моде? Посмотри по ссылкам примеры, я в web не шарю абсолютно, может и iframe, а может canvas.

Deleted ()
Ответ на: комментарий от ozzee

В картинке прозрачным слоем зашифровали вредоносный js-код, а рядом лежит js-код задача которого расшифровать и запустить вредоносный из этого слоя.

Deleted ()
Ответ на: комментарий от ozzee

Да, сначала в картинку хитро запихивают js код в бинарном представлении, важно подчеркнуть что именно в битмап, потому что в сам фаил по секциям распихивать бесполезно (в статье написано что код зловредный, но на самом деле он скорее палевный, так как делает http запрос на какой то левый сервер), потом пишут js код который этот код из битмапа картинки выкалупывает и запускает, отдают в таком виде рекламным аудиторам, аудиторы смотрят ну какие то там манипуляции с данными картинки в канве (может он ее там крутит, может текст динамически добавляет), вроде ничего такого, одобряют и на всех сайтах с их рекламным банером появится «картинка с сюрпризом» к которой будет естественно приложен код который из нее достает типа зловредный код и запускает.
Смущает только что для того что бы зловредный код запустить надо создать элемент <script> запилить в него код и только после добавления на html страницу он будет запущен. То есть как то все равно за глаз должно зацепится.

uin ★★★ ()

Креативно, тут иначе не скажешь.

И таких баннеров штук 20. И все это на js.
А потом удивляются что браузер жрет много рам и тормозит.

KillTheCat ★★★★★ ()
Ответ на: комментарий от StReLoK

Например, в RequestPolicyContinued есть публичный whitelist, куда я закидывал свои патчи.

Есть ли такое в uMatrix? Или там нужно мэнтейнить сугубо свой личный список?

anonymous00 ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.