Адмыслоўцы "Лабараторыі Касперскага" зафіксавалі пачатак чарговай масавай хвалі ўзлому вэб-сайтаў і размяшчэнні на іх спасылак на шкоднасныя серверы. Па адзнаках адмыслоўцаў, толькі за апошнія два дня невядомымі зламыснікамі было ўзламана ад 2000 да 10 000 тысяч сайтаў, у асноўным заходнееўрапейскіх і амерыканскіх.
Дакладны спосаб узлому пакуль невядомы, але прамова можа ісці аб двух найболей верагодных сцэнарах – пры дапамозе SQL-ін'екцый або выкарыстанні раней выкрадзеных акаўнтаў доступу да дадзеных сайтам. Аднак большасць узламаных сайтаў працуе на разнастайных ASP-engines. Пакуль маштабы нападу не гэтак значныя, але хуткасць развіцця бягучай і падабенства выкарыстоўваных шкоднасных праграм наводзіць на думкі аб магчымасці сур'ёзнай пагрозы.
Як жа выглядае ўся схема нападу ?
У html-код узламаных сайтаў дадаецца тэг выгляду:
Спасылка вядзе на Java Script, размешчаны на адным з шасці сервераў, службоўцаў гейтамі для наступнага перанакіравання запытаў. У сапраўдны момант намі выяўлена шэсць такіх гейтаў, і мы занеслі іх у «чорныя спісы» нашага антывіруса:
armsart.com
acglgoa.com
idea21.org
yrwap.cn
s4d.in
dbios.org
Адмыслоўцы "Лабараторыі Касперскага" рэкамендуюць усім сістэмным адміністратарам зачыніць доступ да дадзеных сайтам.
Усе наведвальнікі ўзламаных сайтаў у выніку ўтойліва перанакіроўваюцца на шкоднасны сервер, размешчаны на тэрыторыі Кітая – vvexe.com. Далей у дзеянне ўступае набор эксплоитов, якімі атакуюцца наведвальнікі.
У сапраўдны момант назіраецца выкарыстанне розных эксплоитов уразлівасцяў – як у браўзэры Internet explorer, так і ў Macromedia Flash Player. Акрамя таго, тамака выкарыстоўваюцца эксплоиты ўразлівасці MS08-053 у ActiveX, ухіленай патчам ад Microsoft менш двух месяцаў назад. Асобныя эксплоиты разлічаныя на заражэнне карыстачоў браўзэра Firefox.
Поўны спіс шкоднасных праграм на гэтым сайце, дэтэктаваных нашым антывірусам, даволі шырокі:
Trojan-Downloader.HTML.Agent.ls
Trojan-Downloader.SWF.Agent.ae
Trojan-Downloader.SWF.Agent.ad
Trojan-Downloader.SWF.Agent.af
Trojan-Downloader.SWF.Small.em
Trojan-Downloader.SWF.Small.en
Trojan-Downloader.JS.Agent.cwt
Trojan-Downloader.JS.Agent.cwu
Trojan-Downloader.JS.Agent.cww
Trojan-Downloader.JS.Agent.cwv
Trojan-Downloader.JS.Agent.cwx
Trojan-Downloader.JS.Agent.cwy
Exploit.JS.Agent.xu
Trojan-Dropper.JS.Agent.z
У выпадку калі карыстач апынуўся абразім хоць бы для аднаго з гэтых эксплоитов, ён будзе заражаны шкоднаснай праграмай Trojan-Downloader.Win32.Hah.a. Яна ўяўляе з сябе загрузнік, які здольны загружаць у сістэму іншыя шкоднасныя праграмы – іх колькасць і файлы вызначаюцца ў адмысловым канфігурацыйным файле, размешчаным на тым жа сайце - http://vvexe.com. Сёння адмыслоўцы назіраюць загрузку ім 3-х траянскіх праграм:
1. Trojan-GameThief.Win32.WOW.cer – траянец арыентаваны на крадзеж акаўнтаў карыстачоў анлайн-гульні World of Warcraft
2. Trojan-Spy.Win32.Pophot.gen – яшчэ адзін «шпіён», акрамя крадзяжу дадзеных яшчэ і спрабуе выдаліць з кампутара шэраг антывірусных праграм.
3. Trojan.Win32.Agent.alzv – ажыццяўляе загрузку ў сістэму яшчэ трох траянскіх праграм-шпіёнаў: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty
Адмыслоўцы "Лабараторыі Касперскага" настойліва рэкамендуюць усім уладальнікам сеткавых рэсурсаў, выкарыстоўвалых ASP-рухавічкі, праверыць свае старонкі на прадмет наяўнасці ў іх спасылак выгляду і выдаліць, калі такія будуць выяўленыя.