Ботнет Asprox заражает веб-сайты

image

Теги: ботнет, спам, SQL-инъекция

Исследователи M86 Security предупреждают, что недавно проснувшийся ботнет Asprox не ограничился рассылкой спама и приступил к заражению веб-сайтов, чтобы расширить свои владения.

Исследователи M86 Security предупреждают, что недавно проснувшийся ботнет Asprox не ограничился рассылкой спама и приступил к заражению веб-сайтов, чтобы расширить свои владения.

Боты Asprox (Net-Worm.Win32.Aspxor) отыскивают уязвимые веб-сайты, размещенные на Microsoft IIS (Internet Information Server), который использует технологию ASP (Active Server Pages), и, используя SQL-инъекции, внедряют iframe-редиректы. Когда пользователь заходит на взломанный сайт, редирект перенаправляет браузер на цепочку поддоменов с вредоносным JavaScript-кодом, ведущую на сайт с эксплойтами. В случае успешной эксплуатации на машину жертвы загрузится копия бота. Эксперты отмечают, что этот функционал, обеспечивающий распространение Asprox по Сети, присутствовал в нем и ранее.

M86 Security обнаружила три домена, к которым обращаются боты Asprox для получения инструкций. Они размещены в fast-flux сети и все привязаны к зоне .ru. Зашифрованный xml-файл, который получает Asprox с командного сервера, вместе со спам-шаблоном, списком почтовых адресов и обновлениями содержит также данные для модификации SQL-запроса и списки сайтов-мишеней. По свидетельству M86 Security, количество поддоменов, на которых размещен зловредный JavaScript, невелико, но все они находятся в российской национальной зоне. Количество легальных сайтов, взломанных Asprox, на настоящий момент превысило 5 тысяч.


или введите имя

CAPTCHA
Тро ло ло ло
01-07-2010 08:35:56
> размещенные на Microsoft IIS Дальше можно и не читать
0 |
фетиш-мастер [Малиновые штаны]
01-07-2010 10:08:26
это не иис виноват, а корявая поделка Мелкософт SQL-сервер, которая до сих пор не поддерживает плейсхолдеры в полном объеме в результате кривизна .НЕТ-овской платформы вылилась в sql-инъекцию
0 |
этоттам
01-07-2010 15:10:11
корявая поделка Мелкософт SQL-сервер, которая до сих пор не поддерживает плейсхолдеры в полном объеме0_O placeholder - это же серверный ASP.NET контрол - при чем тут MSSQL?! ASP и ASP.NET - вообще разные вещи
0 |
фетиш-мастер [Малиновые штаны]
02-07-2010 09:51:32
>> при чем тут MSSQL при том, что кривизна mssql породила косяки в .net под .net-ом я имею ввиду программерскую платформу
0 |
этоттам
02-07-2010 10:08:31
я все-таки повторюсь: а) как связаны placeholder и MSSQL? б) как связаны MSSQL и .NET? имхо, ничего общего тут вообще нет. MSSQL на .NET не завязан, .NET на него - тоже. ASP.NET-овые контролы про MSSQL вообще ничего не знает.
0 |
LightDiver
01-07-2010 09:02:50
Продукты майкрософт такие надежные..
0 |
Смайл
01-07-2010 12:39:18
Особенно в контексте рядом стоящей новости про ИИС звучит ну просто феерично
0 |
Прохожий
01-07-2010 15:35:45
Не надо путать мягкое с теплым. От криворукости разрабов никакая платформа не спасает. В сети море сайтов на asp, которые написаны 8+ лет назад со стилем написанием кода "а-ля фрилансер". Особенно их много в зоне edu, которые постоянно заспамленны всякими таблетками.
0 |