Исследователи M86 Security предупреждают, что недавно проснувшийся ботнет Asprox не ограничился рассылкой спама и приступил к заражению веб-сайтов, чтобы расширить свои владения.
Боты Asprox (Net-Worm.Win32.Aspxor) отыскивают уязвимые веб-сайты, размещенные на Microsoft IIS (Internet Information Server), который использует технологию ASP (Active Server Pages), и, используя SQL-инъекции, внедряют iframe-редиректы. Когда пользователь заходит на взломанный сайт, редирект перенаправляет браузер на цепочку поддоменов с вредоносным JavaScript-кодом, ведущую на сайт с эксплойтами. В случае успешной эксплуатации на машину жертвы загрузится копия бота. Эксперты отмечают, что этот функционал, обеспечивающий распространение Asprox по Сети, присутствовал в нем и ранее.
M86 Security обнаружила три домена, к которым обращаются боты Asprox для получения инструкций. Они размещены в fast-flux сети и все привязаны к зоне .ru. Зашифрованный xml-файл, который получает Asprox с командного сервера, вместе со спам-шаблоном, списком почтовых адресов и обновлениями содержит также данные для модификации SQL-запроса и списки сайтов-мишеней. По свидетельству M86 Security, количество поддоменов, на которых размещен зловредный JavaScript, невелико, но все они находятся в российской национальной зоне. Количество легальных сайтов, взломанных Asprox, на настоящий момент превысило 5 тысяч.
PS от Сергея Голованова:
Часть кода, отвечающего за работу с центром управления cl63amgstart.ru.
Схема расположения Центра управления ботом. www.robtex.com.
Asprox начал шествие по Сети