Виявлена нова масова “веб-інфекція”
22:41 08.02.2008ScanSafe попереджає про нову “мережу” інфікованих сайтів. Мері Лендсмен є дослідником ІБ і працює в компанії ScanSafe, що здійснює контроль за веб-серфінгом співробітників великих компаній, і інформує про поширення шкідливого ПЗ в Мережі. Коли користувач відвідує сайт, що позначений як інфікований, то сервіс автоматично блокує завантаження сайта в браузері користувача. Компанія сканує потік 7 млрд. веб-запитів на місяць.
Протягом чотирьох днів (з 8 по 11 січня), 15% блокованих запитів надходили на кілька сотень сайтів, що цілком легальні і, як передбачається, були скомпрометовані нападниками. Лендсмен зробила деякі дослідження і виявила, що цей інцидент відрізняється від усіх попередніх.
На інфікованих сайтах розміщуються шкідливі програми, що можуть “заразити” ПК відвідувачів. У більшості випадків хакери не можуть одержати високий ступінь контролю над взломаними сайтами, щоб перенаправляти користувачів на інші, контрольовані зловмисниками, сервера.
Поки Лендсмен та інші дослідники не знайшли яких-небудь видимих зв’язків між зараженими сайтами. Деякі сайти базуються у Великобританії, а деякі в Індії, Бразилії й інших країнах. Вони не використовують той самий веб-хостінг, і, хоча більшість використовуваного веб-ПЗ - Apache, версії значно відрізняються одна від одної, а це значить, що факт застосування Apache не робить його привабливим для експлуатації уразливостей. Спалах нової “веб-інфекції” збігся з іншим масовим зараженням сайтів.
На заражених сайтах працюють скрипти, що мають динамічні імена (тобто при повторному відвідуванні сайта користувач побачить інше ім’я скрипта). Сам шкідливий скрипт шукає різні уразливості в ОС і, коли знаходить, скачує файл .mov з dedicated.abac.net. Потім запит перенаправляється на bds.invitations.fr - переходячи по цій лінці, користувач “встановлює” на свій ПК бекдор.
По матеріалам http://safe.cnews.ru.
