Зомби-машины ботнета Asprox недавно были оснащены инструментом, который ищет уязвимости сайтов, работающих на базе Microsoft Active Server Pages, а затем пытается эксплуатировать их с помощью SQL-инъекций. После инъекции страницы, посетители сайта перенаправляются на другие ресурсы и получают порцию «коктейля» из вредоносного ПО. Схема заражения имеет «червеподобные» возможности.

«Поскольку инструменты распространяются при помощи ботнета, это выглядит как работа червя, что может привести к противоречивым сообщениям в СМИ и блогах о подлинном характере атаки, - говорит Джо Стюарт (Joe Stewart), исследователь из SecureWorks, который обнаружил атаку, - Тем не менее, инструменты для SQL-атак не выкладывают на свои собственные страницы, они полагаются на Asprox botnet в целях пропаганды новых хостов».

До сих пор зомби Asprox инфицировали лишь около 1 тыс. веб-страниц, которые «оснащены» скриптами, ссылающимися на другие сайты, например, direct84.com и adword71.com. В дополнение к скрытому заражению пользователей вредоносным ПО, инфицированию веб-страниц, также распространяется вредоносное ПО для конкурирующего ботнета, известного как Cutwail. Кроме того, зараженные сайты пытаются установить WinFixer, программу, которая сообщает пользователям о мнимом заражении в попытке заставить их обманным путем приобрести фальшивое антивирусное ПО.

В данный момент лишь четыре из 32 популярных антивирусных продуктов детектируют инструменты SQL-инъекции, согласно данным VirusTotal.

«В отличие от предыдущих массовых SQL-инъекций, которые, как предполагается, осуществляются китайскими хакерами, Asprox, скорее всего, распространяется из Восточной Европы, - цитирует Стюарта The Register. - Непонятно, каким образом группа хакеров приобрела инструменты для атаки. Они могли купить, украсть или разработать его с нуля».

Основная цель использования Asprox заключается в рассылке спама. До SQL-атаки он насчитывал около 15 тыс. зараженных машин.

safe.cnews.ru

Последняя модификация: 17 Май, 2008