Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wielki chiński atak hakerski 2?

Aleksander Gostiew
Kaspersky Lab Expert
Dodany 10 listopada 2008, 12:06 CET
Tagi:

Wczoraj wykryliśmy początek nowego masowego ataku hakerskiego - cyberprzestępcy atakują strony internetowe i umieszczają na nich odsyłacze do zainfekowanych serwerów. Szacujemy, że tylko w ciągu dwóch ostatnich dni zaatakowano od 2000 do 10 000 serwerów, głównie w Europie Zachodniej i Ameryce. Na razie nie wiadomo, kto stoi za tymi atakami.

Nadal próbujemy ustalić, w jaki sposób te strony zostały zaatakowane. Najbardziej prawdopodobne są dwa scenariusze: wykorzystanie wstrzykiwania SQL oraz wykorzystanie skradzionych kont do stron. Zauważyliśmy ponadto, że większość zaatakowanych stron wykorzystuje ten sam typ silnika ASP.

Skala ostatnich ataków nie dorównuje tym, które miały miejsce wiosną tego roku i dotknęły ponad 1,5 miliona zasobów sieciowych. Jednak fakt, że w obu atakach wykorzystano podobne szkodliwe programy, świadczy o tym, że ta nowa fala ataków może być dość poważna.

W jaki sposób przeprowadzane są ataki?

Osoby atakujące dodają znacznik (script src=http://******/h.js) do kodu html atakowanych stron.

Odsyłacz prowadzi do skryptu Java zlokalizowanego na jednym z sześciu serwerów – serwery pełnią rolę bram służących do dalszego przekierowywania żądań. Zidentyfikowaliśmy sześć takich bram i dodaliśmy je do czarnej listy w naszym programie antywirusowym:

  • armsart.com
  • acglgoa.com
  • idea21.org
  • yrwap.cn
  • s4d.in
  • dbios.org

Jeśli jesteś administratorem, powinieneś zablokować dostęp do tych stron.

Odwiedzając jedną z tych stron, użytkownik zostanie potajemnie przekierowany na zainfekowany serwer o nazwie vvexe.com, który jest zlokalizowany w Chinach. Następnie wykorzystywane są exploity do przeprowadzania ataków na maszyny użytkowników.

Zauważyliśmy, że hakerzy wykorzystują szereg różnych exploitów atakujących luki w zabezpieczeniach przeglądarki Internet Explorer, programu Macromedia Flash Player oraz lukę w kontrolce ActiveX (MS08-053), dla której niecałe dwa miesiące temu Microsoft opublikował łatę.

Poniżej przedstawiamy listę szkodliwych programów znajdujących się na stronie, które zostały wykryte przez nasze oprogramowanie antywirusowe:

  • Trojan-Downloader.HTML.Agent.ls
  • Trojan-Downloader.SWF.Agent.ae
  • Trojan-Downloader.SWF.Agent.ad
  • Trojan-Downloader.SWF.Agent.af
  • Trojan-Downloader.SWF.Small.em
  • Trojan-Downloader.SWF.Small.en
  • Trojan-Downloader.JS.Agent.cwt
  • Trojan-Downloader.JS.Agent.cwu
  • Trojan-Downloader.JS.Agent.cww
  • Trojan-Downloader.JS.Agent.cwv
  • Trojan-Downloader.JS.Agent.cwx
  • Trojan-Downloader.JS.Agent.cwy
  • Exploit.JS.Agent.xu
  • Trojan-Dropper.JS.Agent.z

Wystarczy, żeby twoja maszyna była podatna na ataki jednego z tych exploitów, aby została zainfekowana przez inny szkodliwy program - Trojan-Downloader.Win32.Hah.a.

Trojan ten pobiera więcej szkodliwych programów - szczegóły dotyczące tych programów znajdują się w pliku konfiguracyjnym na stronie vvexe.com.

Dzisiaj zauważyliśmy pobieranie trzech szkodliwych programów:

Trojan-GameThief.Win32.WOW.cer - trojan, którego celem jest kradzież danych dotyczących kont gry World of Warcraft.

Trojan-Spy.Win32.Pophot.gen - kolejny trojan szpiegujący, który kradnie dane i próbuje usunąć szereg różnych rozwiązań antywirusowych.

Trojan.Win32.Agent.alzv - trojan ten pobiera kolejne trojany szpiegujące: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty.

Jeśli posiadasz lub zarządzasz witryną wykorzystującą silnik ASP, sprawdź, czy strony nie zawierają odsyłacza (script src=http://******/h.js). Jeśli znajdziesz taki odsyłacz, usuń go. Chodzi tu nie tylko o twoje bezpieczeństwo, ale o bezpieczeństwo wszystkich osób, które odwiedzają tę stronę!