Форум АНТИЧАТ - Asprox. Хакеры заразили тысячу британских сайтов

http://www.picamatic.com/show/2008/0...14_385x185.jpg

23.07.2008, 12:11:59

Неизвестные злоумышленники, предположительно из Восточной Европы, сумели заразить при помощи инструментария Asprox свыше тысячи британских сайтов, в числе которых оказались крупные ресурсы, пишет The Times. Атака, в частности, затронула дюжину муниципалитетов и организацию NFS Norfolk, занимающуюся здравоохранением.

The Times называет Asprox вирусом, но по классификации, например, Symantec, это троянская программа. Asprox никак себя не проявляет на сайтах. Он меняет базу данных таким образом, чтобы при выводе информации из нее каждый посетитель получил вредоносный код.

В случае успешной атаки злоумышленник может получить доступ к файлам, электронной почте и паролям жертвы. У некоторых британцев вскоре после Asprox-атаки со счетов были сняты крупные суммы. Кроме того, компьютер жертвы можно использовать в качестве прокcи-сервера. Схожий механизм атаки используют китайские хакеры для похищения паролей от онлайновых игр.

В США с помощью Asprox злоумышленникам удалось инфицировать сайты, принадлежащие Sony PlayStation и городским властям Сан-Франциско.

По оценкам экспертов по информационной безопасности, опрошенных The Times, Asprox удалось распространить код по меньшей мере на два миллиона компьютеров по всему миру.

_http://lenta.ru/news/2008/07/23/cyber/

ЗЫ: чето у меня это новость вызывает сомнения о своей свежести. так как ботнет Asprox месяца два назад светился в новостях:

Цитата:

16.05.08, Пт, 16:13, Мск

Зомби-машины ботнета Asprox недавно были оснащены инструментом, который ищет уязвимости сайтов, работающих на базе Microsoft Active Server Pages, а затем пытается эксплуатировать их с помощью SQL-инъекций. После инъекции страницы, посетители сайта перенаправляются на другие ресурсы и получают порцию «коктейля» из вредоносного ПО. Схема заражения имеет «червеподобные» возможности.

«Поскольку инструменты распространяются при помощи ботнета, это выглядит как работа червя, что может привести к противоречивым сообщениям в СМИ и блогах о подлинном характере атаки, - говорит Джо Стюарт (Joe Stewart), исследователь из SecureWorks, который обнаружил атаку, - Тем не менее, инструменты для SQL-атак не выкладывают на свои собственные страницы, они полагаются на Asprox botnet в целях пропаганды новых хостов».

До сих пор зомби Asprox инфицировали лишь около 1 тыс. веб-страниц, которые «оснащены» скриптами, ссылающимися на другие сайты, например, direct84.com и adword71.com. В дополнение к скрытому заражению пользователей вредоносным ПО, инфицированию веб-страниц, также распространяется вредоносное ПО для конкурирующего ботнета, известного как Cutwail. Кроме того, зараженные сайты пытаются установить WinFixer, программу, которая сообщает пользователям о мнимом заражении в попытке заставить их обманным путем приобрести фальшивое антивирусное ПО.

В данный момент лишь четыре из 32 популярных антивирусных продуктов детектируют инструменты SQL-инъекции, согласно данным VirusTotal.

«В отличие от предыдущих массовых SQL-инъекций, которые, как предполагается, осуществляются китайскими хакерами, Asprox, скорее всего, распространяется из Восточной Европы, - цитирует Стюарта The Register. - Непонятно, каким образом группа хакеров приобрела инструменты для атаки. Они могли купить, украсть или разработать его с нуля».

Основная цель использования Asprox заключается в рассылке спама. До SQL-атаки он насчитывал около 15 тыс. зараженных машин.

_http://www.cnews.kz/news/line/index.shtml?2008/05/16/107121