Subscribe feed

Лабараторыя Касперскага папярэджвае аб масавым узломе сайтаў

11 лістапада 2008

Адмыслоўцы "Лабараторыі Касперскага" зафіксавалі пачатак чарговай масавай хвалі ўзлому вэб-сайтаў і размяшчэнні на іх спасылак на шкоднасныя серверы. Па адзнаках адмыслоўцаў, толькі за апошнія два дня невядомымі зламыснікамі было ўзламана ад 2000 да 10 000 тысяч сайтаў, у асноўным заходнееўрапейскіх і амерыканскіх.

Дакладны спосаб узлому пакуль невядомы, але прамова можа ісці аб двух найболей верагодных сцэнарах – пры дапамозе SQL-ін'екцый або выкарыстанні раней выкрадзеных акаўнтаў доступу да дадзеных сайтам. Аднак большасць узламаных сайтаў працуе на разнастайных ASP-engines. Пакуль маштабы нападу не гэтак значныя, але хуткасць развіцця бягучай і падабенства выкарыстоўваных шкоднасных праграм наводзіць на думкі аб магчымасці сур'ёзнай пагрозы.

Як жа выглядае ўся схема нападу ?

У html-код узламаных сайтаў дадаецца тэг выгляду:

Спасылка вядзе на Java Script, размешчаны на адным з шасці сервераў, службоўцаў гейтамі для наступнага перанакіравання запытаў. У сапраўдны момант намі выяўлена шэсць такіх гейтаў, і мы занеслі іх у «чорныя спісы» нашага антывіруса:

armsart.com

acglgoa.com

idea21.org

yrwap.cn

s4d.in

dbios.org

 Адмыслоўцы "Лабараторыі Касперскага" рэкамендуюць усім сістэмным адміністратарам зачыніць доступ да дадзеных сайтам.

Усе наведвальнікі ўзламаных сайтаў у выніку ўтойліва перанакіроўваюцца на шкоднасны сервер, размешчаны на тэрыторыі Кітая – vvexe.com. Далей у дзеянне ўступае набор эксплоитов, якімі атакуюцца наведвальнікі.

У сапраўдны момант назіраецца выкарыстанне розных эксплоитов уразлівасцяў – як у браўзэры Internet explorer, так і ў Macromedia Flash Player. Акрамя таго, тамака выкарыстоўваюцца эксплоиты ўразлівасці MS08-053 у ActiveX, ухіленай патчам ад Microsoft менш двух месяцаў назад. Асобныя эксплоиты разлічаныя на заражэнне карыстачоў браўзэра Firefox.

Поўны спіс шкоднасных праграм на гэтым сайце, дэтэктаваных нашым антывірусам, даволі шырокі:

Trojan-Downloader.HTML.Agent.ls

Trojan-Downloader.SWF.Agent.ae

Trojan-Downloader.SWF.Agent.ad

Trojan-Downloader.SWF.Agent.af

Trojan-Downloader.SWF.Small.em

Trojan-Downloader.SWF.Small.en

Trojan-Downloader.JS.Agent.cwt

Trojan-Downloader.JS.Agent.cwu

Trojan-Downloader.JS.Agent.cww

Trojan-Downloader.JS.Agent.cwv

Trojan-Downloader.JS.Agent.cwx

Trojan-Downloader.JS.Agent.cwy

Exploit.JS.Agent.xu

Trojan-Dropper.JS.Agent.z

У выпадку калі карыстач апынуўся абразім хоць бы для аднаго з гэтых эксплоитов, ён будзе заражаны шкоднаснай праграмай Trojan-Downloader.Win32.Hah.a. Яна ўяўляе з сябе загрузнік, які здольны загружаць у сістэму іншыя шкоднасныя праграмы – іх колькасць і файлы вызначаюцца ў адмысловым канфігурацыйным файле, размешчаным на тым жа сайце - http://vvexe.com. Сёння адмыслоўцы назіраюць загрузку ім 3-х траянскіх праграм:

1. Trojan-GameThief.Win32.WOW.cer – траянец арыентаваны на крадзеж акаўнтаў карыстачоў анлайн-гульні World of Warcraft

2. Trojan-Spy.Win32.Pophot.gen – яшчэ адзін «шпіён», акрамя крадзяжу дадзеных яшчэ і спрабуе выдаліць з кампутара шэраг антывірусных праграм.

3. Trojan.Win32.Agent.alzv – ажыццяўляе загрузку ў сістэму яшчэ трох траянскіх праграм-шпіёнаў: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty

 Адмыслоўцы "Лабараторыі Касперскага" настойліва рэкамендуюць усім уладальнікам сеткавых рэсурсаў, выкарыстоўвалых ASP-рухавічкі, праверыць свае старонкі на прадмет наяўнасці ў іх спасылак выгляду і выдаліць, калі такія будуць выяўленыя.


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100