Наверх
Меню
Новости
Статьи
twitter
Новости Internet
12 ноября 2008
4240
  Лаборатория Касперского предупреждает о массовом взломе сайтов  
 
Лаборатория Касперского предупреждает о массовом взломе сайтов
Специалисты "Лаборатории Касперского" зафиксировали начало очередной массовой волны взлома веб-сайтов и размещения на них ссылок на вредоносные серверы. По оценкам специалистов, только за последние два дня неизвестными злоумышленниками было взломано от 2000 до 10 000 тысяч сайтов, в основном западноевропейских и американских.

Точный способ взлома пока неизвестен, но речь может идти о двух наиболее вероятных сценариях – при помощи SQL-инъекций или использования ранее украденных аккаунтов доступа к данным сайтам. Однако большинство взломанных сайтов работает на разнообразных ASP-engines. Пока масштабы атаки не столь значительны, но скорость развития текущей и схожесть используемых вредоносных программ наводит на мысли о возможности серьезной угрозы.

Как же выглядит вся схема атаки?

В html-код взломанных сайтов добавляется тэг вида:

< script src=http://******/h.js >


Ссылка ведет на Java Script, расположенный на одном из шести серверов, служащих гейтами для дальнейшего перенаправления запросов. В настоящий момент нами обнаружено шесть таких гейтов, и мы внесли их в «черные списки» нашего антивируса:

armsart.com

acglgoa.com

idea21.org

yrwap.cn

s4d.in

dbios.org

Специалисты "Лаборатории Касперского" рекомендуют всем системным администраторам закрыть доступ к данным сайтам.

Все посетители взломанных сайтов в итоге скрытно перенаправляются на вредоносный сервер, расположенный на территории Китая – vvexe.com. Дальше в действие вступает набор эксплоитов, которыми атакуются посетители.

В настоящий момент наблюдается использование различных эксплоитов уязвимостей – как в браузере Internet explorer, так и в Macromedia Flash Player. Кроме того, там используются эксплоиты уязвимости MS08-053 в ActiveX, устраненной патчем от Microsoft меньше двух месяцев назад. Отдельные эксплоиты рассчитаны на заражение пользователей браузера Firefox.

Полный список вредоносных программ на этом сайте, детектируемых нашим антивирусом, довольно обширен:

Trojan-Downloader.HTML.Agent.ls

Trojan-Downloader.SWF.Agent.ae

Trojan-Downloader.SWF.Agent.ad

Trojan-Downloader.SWF.Agent.af

Trojan-Downloader.SWF.Small.em

Trojan-Downloader.SWF.Small.en

Trojan-Downloader.JS.Agent.cwt

Trojan-Downloader.JS.Agent.cwu

Trojan-Downloader.JS.Agent.cww

Trojan-Downloader.JS.Agent.cwv

Trojan-Downloader.JS.Agent.cwx

Trojan-Downloader.JS.Agent.cwy

Exploit.JS.Agent.xu

Trojan-Dropper.JS.Agent.z

В случае если пользователь оказался уязвим хотя бы для одного из этих эксплоитов, он будет заражен вредоносной программой Trojan-Downloader.Win32.Hah.a. Она представляет из себя загрузчик, который способен загружать в систему другие вредоносные программы – их количество и файлы определяются в специальном конфигурационном файле, размещенном на том же сайте - http://vvexe.com. Сегодня специалисты наблюдают загрузку им 3-х троянских программ:

1. Trojan-GameThief.Win32.WOW.cer – троянец ориентированный на кражу аккаунтов пользователей онлайн-игры World of Warcraft

2. Trojan-Spy.Win32.Pophot.gen – еще один «шпион», кроме кражи данных еще и пытается удалить с компьютера ряд антивирусных программ.

3. Trojan.Win32.Agent.alzv – осуществляет загрузку в систему еще трех троянских программ-шпионов: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty

Специалисты "Лаборатории Касперского" настоятельно рекомендуют всем владельцам сетевых ресурсов, использующих ASP-движки, проверить свои страницы на предмет наличия в них ссылок вида и удалить, если такие будут обнаружены.


  Источник: securitylab.ru
 



Поделиться с друзьями:


Другие новости по теме
 
Вы не авторизованный пользователь. Чтобы воспользоваться всеми возможностями сайта, зарегистрируйтесь.
 

Комментарии

boroda3 12 ноября 2008 12:57
Так какого вида все-таки тэг добавляется? Что забивать в файрвол?


--------------------
Asus M4A78Pro / Phenom X4 955@3.4Ггц + Scithe Mugen-2 / 2x Kingston 2G CL5 PC6400 / AMD HD6850 / 2x WD1003FBYX / Corsair TX650W
 
 
 

GeNero 12 ноября 2008 13:19
В файрвол - перечисленные 6 гейтов, а теги типа аncor в HTML, где в href-подобном указателе на ресурс прописан хоть один из перечисленных гейтов, насколько я понял. Только вот это будет похоже на черпание воды ситом - вроде что-то делаешь, только это малоэффективно, поскольку вредители не дураки же в конце концов - наделают кучу других гейтов. И что их сидеть круглосуточно отлавливать? =) А если тупо гейты перерегистрировать на другое доменное имя (даже со старым IP) - указанный список уже не поможет...
Тешатся как дети блин, закинули невод (в виде иньекций да троянов) - авось что интересное поймают, почему нет. Им забава, а админам ASP-шных ресурсов - головная боль.
А может китайские службы проверяют эффективность своего продукта =) кто знает...


--------------------
AMD Phenom II X4 945, ASUS M4A88T-V EVO (AMD880G), HIS "Radeon HD 6850 IceQ X Turbo" 1024Mb DDR5, 4x4Gb DDR3 Kingston PC10600
 
 
 

d0dger 12 ноября 2008 13:29
Парсер движка съел тег :) Все вернул на места.


--------------------
Acer Aspire 5720 (Core 2 Duo T7100, GMA X3100, 2GB DDR2, 160GB HDD)
 
 
 

FerlySky 12 ноября 2008 16:58
А я Operа-ой пользуюсь - мне пофиг :)
Дырка большая этот Internet Explorer
 
 
 

boroda3 13 ноября 2008 04:47
Цитата: GeNero
В файрвол - перечисленные 6 гейтов, а теги типа аncor в HTML, где в href-подобном указателе на ресурс прописан хоть один из перечисленных гейтов

Я в курсе, для чего теги. Просто как раз исходя из того, что адреса сайтов в любой момент могут измениться, как раз и была мысль, что если тэг какой-то специфический (скажем, с характерным именем скрипта), то выкусывать сам тэг, а не блокировать фиксированный набор сайтов. Но тут, похоже, действительно кроме адреса зацепиться не за что.


--------------------
Asus M4A78Pro / Phenom X4 955@3.4Ггц + Scithe Mugen-2 / 2x Kingston 2G CL5 PC6400 / AMD HD6850 / 2x WD1003FBYX / Corsair TX650W
 
 
 

Sat360 14 ноября 2008 16:15
А блокировать загрузку скриптов с других сайтов (не тех, с которых скачивается страница)?
 
 
 
Добавление комментария
Ваше имя
Ваш Email
Код Включите эту картинку для отображения кода безопасности
обновить код
Введите код