3

Я просматривал веб-сайт, который заставил Avast создать уведомление о том, что он защитил меня от инфекции. В течение следующих получаса это уведомление появлялось снова несколько раз.

Сообщение Avast, которое я получаю:

URL:    http://b.scorecardresearch.com/b?c1
Process:    C:\Users\?\AppData\Local\Google\Chrom...
Infection:  URL:Mal

Просматривая исходный код сайта-нарушителя, я нашел код JavaScript-нарушителя:

<script>
document.write(unescape("%3Cscript src='" + (document.location.protocol == "https:" ? "https://sb" : "http://b") + ".scorecardresearch.com/beacon.js' %3E%3C/script%3E"));
</script>

<noscript>
  <img src="http://b.scorecardresearch.com/p?c1=2&c2=8027488&c3=&c4=&c5=&c6=&c15=&cj=1" />
</noscript>

Мой вопрос: как загрузка изображения приводит к заражению? Каковы последствия этого и как я могу удалить его с моего компьютера? Я только что запустил сканирование Avast, которое ничего не нашло, и я не уверен, что делать дальше.

Редактировать: я очистил свой кэш, как предложено, но это не решило проблему? Я только что получил еще одно уведомление Avast, что оно заблокировало его. Я запустил сканирование Avast и сканирование Malwarebytes, которое ничего не нашло. Мой компьютер был перезагружен также между попытками. :/

3 ответа3

2

Проблема заключается не в загрузке образа, а в выполнении JS, которое может привести к атаке межсайтового скриптинга (XSS). См. Шпаргалку XSS Filter Evasion и, в частности, разделы img src, чтобы увидеть примеры того, как это может работать.

К сожалению, существует множество способов, с помощью которых ваш браузер может «обмануть» запуск JS и обеспечить векторы атак.

2

Вредоносные программы - это не обязательно заражение вашего компьютера. Многие виды вредоносных программ просто собирают информацию.

Скрипт, загруженный тегом <script> отправляет информацию о вашем браузере (например, ваш файл cookie и ваш реферал) и посещаемый вами веб-сайт (например, его URL-адрес и его заголовок) в домен-нарушитель.

Предполагается, что <img> внутри <noscript> предназначен для той же цели, собирая эту информацию с сервера и отправляя ее в виде значений в c1, c2 и т.д. Поскольку большинство полей пустые, хакерский скрипт kiddie не кажется, сделали очень хорошую работу ...

Наконец, http://b.scorecardresearch.com/p не является изображением; это скрипт на сервере злоумышленника, в котором хранится информация, переданная ему.

1

Вот некоторая информация о ScorecardResearch.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .