Obtendo malware por meio de JavaScript e uma tag img

3

Eu estava navegando em um site que fez com que o Avast criasse uma notificação de que ele me protegia de uma infecção. Na próxima meia hora, essa notificação apareceu novamente algumas vezes.

A mensagem do Avast que recebo é:

URL:    http://b.scorecardresearch.com/b?c1
Process:    C:\Users\?\AppData\Local\Google\Chrom...
Infection:  URL:Mal

Ao visualizar o código-fonte do site ofensivo, encontrei o JavaScript incorreto:

<script>
document.write(unescape("%3Cscript src='" + (document.location.protocol == "https:" ? "https://sb" : "http://b") + ".scorecardresearch.com/beacon.js' %3E%3C/script%3E"));
</script>

<noscript>
  <img src="http://b.scorecardresearch.com/p?c1=2&c2=8027488&c3=&c4=&c5=&c6=&c15=&cj=1" />
</noscript>

Minha pergunta é como o download de uma imagem leva a uma infecção? Quais são os efeitos disso e como posso removê-lo do meu computador? Acabei de executar um exame Avast que não encontrou nada e não tenho certeza de como proceder a partir daqui.

Editar: Limpei meu cache como sugerido, mas isso não resolveu o problema? Acabei de receber outra notificação Avast que bloqueou. Eu corri um escaneamento Avast e um escaneamento Malwarebytes que não encontrou nada. Meu computador foi reiniciado entre as tentativas também. : /

    
por AwesomeAuger 10.05.2013 / 17:48

3 respostas

2

O malware não envolve necessariamente infectar seu computador. Muitos tipos de malware apenas coletam informações.

O script carregado pela tag <script> envia informações sobre seu navegador (por exemplo, seu cookie e seu referenciador) e o website que você está visitando (por exemplo, seu URL e seu título) para o domínio incorreto.

A tag <img> dentro de <noscript> deve atender ao mesmo objetivo, reunir essas informações do servidor e enviá-las como valores para c1 , c2 , etc. Como a maioria dos campos está em branco, o script hacker não parece ter feito um trabalho muito bom ...

Finalmente, http://b.scorecardresearch.com/p é não uma imagem; é um script no servidor do invasor que armazena as informações que foram passadas para ele.

    
por 10.05.2013 / 18:12
2

Não é o download da imagem que é a questão da execução do JS, que pode levar a um ataque de script entre sites (XSS). Consulte a Folha de evasão do filtro XSS e especificamente as seções img src para ver exemplos de como isso pode funcionar.

Infelizmente, existem muitas maneiras de o seu navegador ser "enganado" para executar o JS e fornecer vetores de ataque.

    
por 10.05.2013 / 17:56
1

Veja algumas informações sobre ScorecardResearch .

    
por 10.05.2013 / 18:23