Nhận phần mềm độc hại thông qua JavaScript và thẻ img

3

Tôi đang duyệt một trang web khiến Avast tạo ra một thông báo rằng nó bảo vệ tôi khỏi bị lây nhiễm. Trong nửa giờ tiếp theo, thông báo này xuất hiện trở lại một vài lần.

Thông điệp Avast tôi nhận được là: 

URL:    http://b.scorecardresearch.com/b?c1
Process:    C:\Users\?\AppData\Local\Google\Chrom...
Infection:  URL:Mal

Xem mã nguồn của trang web vi phạm, tôi đã tìm thấy JavaScript vi phạm: 

<script>
document.write(unescape("%3Cscript src='" + (document.location.protocol == "https:" ? "https://sb" : "http://b") + ".scorecardresearch.com/beacon.js' %3E%3C/script%3E"));
</script>

<noscript>
  <img src="http://b.scorecardresearch.com/p?c1=2&c2=8027488&c3=&c4=&c5=&c6=&c15=&cj=1" />
</noscript>

Câu hỏi của tôi là làm thế nào để tải xuống một hình ảnh dẫn đến nhiễm trùng? Những ảnh hưởng của việc này là gì và làm cách nào để loại bỏ nó khỏi máy tính của tôi? Tôi vừa chạy quét Avast mà không tìm thấy gì và không chắc chắn cách tiến hành từ đây.

Chỉnh sửa: Tôi đã xóa bộ nhớ cache của mình theo đề xuất nhưng điều đó không giải quyết được vấn đề? Tôi vừa nhận được một thông báo Avast khác rằng nó đã chặn nó. Tôi đã chạy quét Avast và quét Malwarebytes mà không tìm thấy gì. Máy tính của tôi cũng đã được khởi động lại giữa các lần thử. : /

javascript  malware 
AwesomeAuger
nguồn
1
Bởi vì việc tải xuống không thực sự là một hình ảnh?
Ramhound

Câu trả lời:

2

Phần mềm độc hại không nhất thiết phải lây nhiễm máy tính của bạn. Nhiều loại phần mềm độc hại chỉ thu thập thông tin.

Kịch bản được tải bởi <script> thẻ sẽ gửi thông tin về trình duyệt của bạn (ví dụ: cookie và người giới thiệu của bạn) và trang web bạn đang truy cập (ví dụ: URL và tiêu đề của nó) đến tên miền vi phạm.

Các <img> thẻ bên trong <noscript> được cho là phục vụ cùng một mục đích, thu thập thông tin đó từ máy chủ và gửi dưới dạng giá trị tới c1 , c2 , v.v ... Vì hầu hết các trường đều trống, tin tặc kịch bản kiddie dường như đã không làm rất tốt ...

Cuối cùng, http://b.scorecardresearch.com/p không phải một tấm ảnh; đó là một đoạn script trên máy chủ của kẻ tấn công lưu trữ thông tin đã được truyền đến nó.

Dennis
nguồn
Cảm ơn vì sự trả lời. Bạn có thể giải thích tại sao Avast tạo thông báo sau khi tôi đóng trình duyệt (hơn 10 phút) không? JavaScript sẽ không bị chấm dứt? Có thể có một hiệu ứng lâu dài trên máy của tôi hoặc đây là một sự kiện một lần? Cảm ơn!
AwesomeAuger
Như một bên: thực sự, URL làm trả lại một hình ảnh Nhưng chắc chắn máy chủ đang ghi lại mọi thứ trước khi trả lại.
Arjan
Tôi không biết Avast hoạt động như thế nào trong nội bộ. Nó có thể chỉ đơn giản là đã phản ứng với trang web được lưu trữ trên đĩa cứng của bạn.
Dennis
2,5 giờ sau khi truy cập trang, tôi nhận được một cửa sổ bật lên Avast khác với cùng thông tin. Có bất cứ điều gì tôi có thể làm ngoài việc chạy quét, hy vọng rằng một người nhặt nó lên không?
AwesomeAuger
Hãy thử xóa bộ nhớ cache (đi đến chrome://settings/clearBrowserData, kiểm tra Empty the cache Và xác nhận).
Dennis
2

Đây không phải là tải xuống hình ảnh mà là vấn đề, đó là việc thực thi JS có thể dẫn đến một cuộc tấn công kịch bản chéo trang (XSS). Xem Bộ lọc gian lận XSS Bộ lọc gian lận và cụ thể là các phần img src để xem các ví dụ về cách thức này có thể hoạt động.

Thật không may, có rất nhiều cách mà trình duyệt của bạn có thể bị 'lừa' để chạy JS và cung cấp các vectơ tấn công.

Brad Patton
nguồn
Trong khi sự thật, tôi không nghĩ rằng nó áp dụng trong trường hợp này ?
Arjan
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.