Лаборатория Касперского предупреждает о массовом взломе сайтов

image

Теги: Лаборатория Касперского, сайт, взлом, вредоносный код, новость

По оценкам специалистов Лаборатории Касперского, только за последние два дня неизвестными злоумышленниками было взломано от 2000 до 10 000 тысяч сайтов, в основном западноевропейских и американских.

Специалисты "Лаборатории Касперского" зафиксировали начало очередной массовой волны взлома веб-сайтов и размещения на них ссылок на вредоносные серверы. По оценкам специалистов, только за последние два дня неизвестными злоумышленниками было взломано от 2000 до 10 000 тысяч сайтов, в основном западноевропейских и американских.

Точный способ взлома пока неизвестен, но речь может идти о двух наиболее вероятных сценариях – при помощи SQL-инъекций или использования ранее украденных аккаунтов доступа к данным сайтам. Однако большинство взломанных сайтов работает на разнообразных ASP-engines. Пока масштабы атаки не столь значительны, но скорость развития текущей и схожесть используемых вредоносных программ наводит на мысли о возможности серьезной угрозы.

Как же выглядит вся схема атаки ?

В html-код взломанных сайтов добавляется тэг вида:

< script src=http://******/h.js >

Ссылка ведет на Java Script, расположенный на одном из шести серверов, служащих гейтами для дальнейшего перенаправления запросов. В настоящий момент нами обнаружено шесть таких гейтов, и мы внесли их в «черные списки» нашего антивируса:

armsart.com

acglgoa.com

idea21.org

yrwap.cn

s4d.in

dbios.org

 Специалисты "Лаборатории Касперского" рекомендуют всем системным администраторам закрыть доступ к данным сайтам.

Все посетители взломанных сайтов в итоге скрытно перенаправляются на вредоносный сервер, расположенный на территории Китая – vvexe.com. Дальше в действие вступает набор эксплоитов, которыми атакуются посетители.

В настоящий момент наблюдается использование различных эксплоитов уязвимостей – как в браузере Internet Explorer, так и в Macromedia Flash Player. Кроме того, там используются эксплоиты уязвимости MS08-053 в ActiveX, устраненной патчем от Microsoft меньше двух месяцев назад. Отдельные эксплоиты рассчитаны на заражение пользователей браузера Firefox.

Полный список вредоносных программ на этом сайте, детектируемых нашим антивирусом, довольно обширен:

Trojan-Downloader.HTML.Agent.ls

Trojan-Downloader.SWF.Agent.ae

Trojan-Downloader.SWF.Agent.ad

Trojan-Downloader.SWF.Agent.af

Trojan-Downloader.SWF.Small.em

Trojan-Downloader.SWF.Small.en

Trojan-Downloader.JS.Agent.cwt

Trojan-Downloader.JS.Agent.cwu

Trojan-Downloader.JS.Agent.cww

Trojan-Downloader.JS.Agent.cwv

Trojan-Downloader.JS.Agent.cwx

Trojan-Downloader.JS.Agent.cwy

Exploit.JS.Agent.xu

Trojan-Dropper.JS.Agent.z

В случае если пользователь оказался уязвим хотя бы для одного из этих эксплоитов, он будет заражен вредоносной программой Trojan-Downloader.Win32.Hah.a. Она представляет из себя загрузчик, который способен загружать в систему другие вредоносные программы – их количество и файлы определяются в специальном конфигурационном файле, размещенном на том же сайте - http://vvexe.com. Сегодня специалисты наблюдают загрузку им 3-х троянских программ:

1. Trojan-GameThief.Win32.WOW.cer – троянец ориентированный на кражу аккаунтов пользователей онлайн-игры World of Warcraft

2. Trojan-Spy.Win32.Pophot.gen – еще один «шпион», кроме кражи данных еще и пытается удалить с компьютера ряд антивирусных программ.

3. Trojan.Win32.Agent.alzv – осуществляет загрузку в систему еще трех троянских программ-шпионов: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty

 Специалисты "Лаборатории Касперского" настоятельно рекомендуют всем владельцам сетевых ресурсов, использующих ASP-движки, проверить свои страницы на предмет наличия в них ссылок вида < script src=http://******/h.js > и удалить, если такие будут обнаружены.



или введите имя

CAPTCHA
Страницы: 1  2  
Advanced
11-11-2008 11:47:03
Голактеко в опасносте !!!!! Дядя Женя СПАСИ нас !!!!!
0 |
ы
12-11-2008 16:12:43
плюсадин ) Готов на что угодно поспорить что "от 2000 до 10000 серверов" были похаканы универсальным приватным сплойтом к АСПу, т.к. чего только стоит чтобы просто тупо собрать список из 10000 сайтов на АСПе, не то что похакать. А судя по узкой направленности троянчегов - участников было не больше 10. Вывод: Новость рассказывает о происходящем, но тщательно скрывает косяки мелкомягких.
0 |
Анжи
15-11-2008 15:42:56
пипец вы все тупые, я в шоке. нах таким даже тут отписываться?!
0 |
ая
11-11-2008 12:11:55
ой нах ой нах памажитэ бэднеъким
0 |
11-11-2008 12:15:54
Господа касперовцы, скажите, пожалуйста, какая ОС стояла на данных серверах. Народ ждёт сигнала к холивару!
0 |
Ы
11-11-2008 12:20:47
а имена троянчиков для тебя уже не сигнал???
0 |
32879
11-11-2008 13:06:37
>настоятельно рекомендуют всем владельцам сетевых ресурсов, использующих ASP-движки, проверить свои страницы на предмет наличия в них ссылок вида < script src=http://******/h.js > Таки АСП
0 |
Miro
11-11-2008 15:48:20
Таки Виндоус... : )
0 |
11-11-2008 12:19:13
хм. неужели asp такое же говно как php и в нем так же легко инжектнуть код?
0 |
*
11-11-2008 14:27:15
да, ассемблер рулит, как ни крути
0 |
онотоле
11-11-2008 17:00:37
да, _асп_ - такое же гавно, даже похуже, но asp.net это не asp, а совершенно другая технология
0 |
фетиш-мастер [Малиновые штаны]
11-11-2008 22:13:06
asp назван по аналогии с jsp смысл один и тот же: вставка в хтмл-страницу содержимого, которое будет предварительно обработано на стороне сервера прежде чем будет отдано клиенту а уж какую asp вы юзаете - vb, с# или че там еще - это уже ваше дело
0 |
ы
12-11-2008 16:19:51
Не надо тут гнать на пхп ) Пхп очень популярен и распространён, и, как говорится, против ветра не поссышь. Потому, если нужно полное отсутствие багов и * быстродействие - возвращайся обратно к ассемблеру )) ЗЫ: Знаю чё такое "цги", но пхп, имхо, проще и удобней.
0 |
noname
11-11-2008 12:46:12
А в Опере они тоже работают?
0 |
Имя:*
11-11-2008 12:55:48
Нет только в интернет-браузерах
0 |
шкраби-коко
11-11-2008 13:28:11
ггг а опера это какой браузер?
0 |
шкраби-коко
11-11-2008 13:40:00
не-не-неее девид блейн, Опера это правильный браузер, а * это все остальные браузеры
0 |
баш
11-11-2008 15:49:38
Вспоминается цитата с баша Опера , есть единственный браузер , который правельно отображает сайты , как бы там уж не хотели их создатели
0 |
ААА!!
11-11-2008 17:28:58
Убил!! )))
0 |
Страницы: 1  2