Обнаружена новая массовая "веб-инфекция"

Понедельник, 14 января 2008 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

ScanSafe предупреждает о новой "сети" инфицированных сайтов.

Мэри Лэндсмэн (Mary Landesman) является исследователем ИБ и работает в компании ScanSafe, которая осуществляет контроль за веб-серфингом сотрудников крупных компаний, и информирует о распространении вредоносного ПО в Сети. Когда пользователь посещает сайт, который отмечен как инфицированный, то сервис автоматически блокирует загрузку сайта в браузере пользователя. Компания сканирует поток 7 млрд. веб-запросов в месяц.

В течение четырех дней (с 8 по 11 января), 15% блокированных запросов поступают на несколько сотен сайтов, которые вполне легальны и, как предполагается, были скомпрометированы нападавшими. Лэндсмэн произвела некоторые исследования и обнаружила, что этот инцидент отличается от всех предыдущих.

На инфицированных сайтах размещаются вредоносные программы, которые могут "заразить" ПК посетителей. В большинстве случаев хакеры не могут получить высокую степень контроля над взломанными сайтами, чтобы перенаправлять пользователей на другие, контролируемые злоумышленниками, сервера.

"Я поражена, - сказала Лэндсмэн. - Это совершенно новый метод инфицирования пользователя. Я хочу узнать, как они это делают, и каким образом связаны эти сайты".

Пока Лэндсмэн и другие исследователи не обнаружили каких-либо видимых связей между зараженными сайтами. Такие адреса, как dubai.travel-culture.com, operationultimategoal.com и directline-citybreaks.co.uk, базируются, в основном в Великобритании, но некоторые в Индии, Бразилии и других странах. Они не используют один и тот же веб-хостинг, и, хотя большинство используемого веб-ПО - Apache, версии значительно отличаются друг от друга, что делает его непривлекательным для эксплуатации уязвимостей этого ПО.

Вспышка новой "веб-инфекции" совпала с другим массовым заражением сайтов.

На зараженных сайтах работают скрипты, которые имеют динамичные имена (то есть при повторном посещении сайта пользователь увидит другое имя скрипта). Сам вредоносный скрипт ищет различные уязвимости в ОС и, когда находит, скачивает файл .mov с dedicated.abac.net. Затем запрос перенаправляется на bds.invitations.fr – переходя по этой ссылке, пользователь "устанавливает" на свой ПК бэкдор.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 395
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003