Лаборатория Касперского: массовая волна взлома сайтов | ||
Безопасность | ||
Специалисты "Лаборатории Касперского" зафиксировали начало очередной массовой волны взлома веб-сайтов и размещения на них ссылок на вредоносные серверы. По их оценкам, только за два дня было взломано ... |
Специалисты "Лаборатории Касперского" зафиксировали начало очередной массовой волны взлома веб-сайтов и размещения на них ссылок на вредоносные серверы. По их оценкам, только за два дня (с 6 по 7 ноября 2008) неизвестными злоумышленниками было взломано от 2000 до 10 000 тысяч сайтов, в основном западноевропейских и американских.
Точный способ взлома пока им неизвестен, но речь может идти о двух наиболее вероятных сценариях – при помощи SQL-инъекций или использования ранее украденных аккаунтов доступа к данным сайтам. Однако большинство взломанных сайтов работает на разнообразных ASP-engines.s
Пока масштабы атаки не столь значительны, как в случае с первым «Большим Китайским Хаком», состоявшимся весной этого года и затронувшем более полутора миллионов веб-ресурсов, но скорость развития текущей и схожесть используемых вредоносных программ наводит на мысли о возможности не менее серьезной угрозы.
Как же выглядит вся схема атаки ?
В html-код взломанных сайтов добавляется тэг вида:
s< script src=http://******/h.js >
Ссылка ведет на Java Script, расположенный на одном из шести серверов, служащих гейтами для дальнейшего перенаправления запросов. В настоящий момент специалистами "Лаборатории Касперского" обнаружено шесть таких гейтов, и они внесли их в «черные списки» антивируса Касперского:
armsart.com
acglgoa.com
idea21.org
yrwap.cn
s4d.in
dbios.org
Специалисты настоятельно рекомендуют всем системным администраторам закрыть доступ к данным сайтам. Все посетители взломанных сайтов в итоге скрытно перенаправляются на вредоносный сервер, расположенный на территории Китая – vvexe.com. Дальше в действие вступает набор эксплоитов, которыми атакуются посетители. sВ настоящий момент наблюдается использование различных эксплоитов уязвимостей – как в браузере Internet Explorer, так и в Macromedia Flash Player. Кроме того, там используются эксплоиты уязвимости MS08-053 в ActiveX, устраненной патчем от Microsoft меньше двух месяцев назад. Отдельные эксплоиты рассчитаны на заражение пользователей браузера Firefox.
Полный список вредоносных программ на этом сайте, детектируемых антивирусом Касперского, довольно обширен:
Trojan-Downloader.HTML.Agent.ls
Trojan-Downloader.SWF.Agent.ae
Trojan-Downloader.SWF.Agent.ad
Trojan-Downloader.SWF.Agent.af
Trojan-Downloader.SWF.Small.em
Trojan-Downloader.SWF.Small.en
Trojan-Downloader.JS.Agent.cwt
Trojan-Downloader.JS.Agent.cwu
Trojan-Downloader.JS.Agent.cww
Trojan-Downloader.JS.Agent.cwv
Trojan-Downloader.JS.Agent.cwx
Trojan-Downloader.JS.Agent.cwy
Exploit.JS.Agent.xu
Trojan-Dropper.JS.Agent.z
В случае если пользователь оказался уязвим хотя бы для одного из этих эксплоитов, он будет заражен вредоносной программой Trojan-Downloader.Win32.Hah.a. Она представляет из себя загрузчик, который способен загружать в систему другие вредоносные программы – их количество и файлы определяются в специальном конфигурационном файле, размещенном на том же сайте - http://vvexe.com.
Сегодня специалисты наблюдают загрузку им 3-х троянских программ:
- Trojan-GameThief.Win32.WOW.cer – троянец ориентированный на кражу аккаунтов пользователей онлайн-игры World of Warcraft
- Trojan-Spy.Win32.Pophot.gen – еще один «шпион», кроме кражи данных еще и пытается удалить с компьютера ряд антивирусных программ.
- Trojan.Win32.Agent.alzv – осуществляет загрузку в систему еще трех троянских программ-шпионов: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty
Специалисты "Лаборатории Касперского" настоятельно рекомендуют всем владельцам сетевых ресурсов, использующих ASP-движки, проверить свои страницы на предмет наличия в них ссылок вида < script src=http://******/h.js > и удалить, если такие будут обнаружены.