Большой Китайский Хак-2?

Вчера мы зафиксировали начало очередной массовой волны взлома веб-сайтов и размещения на них ссылок на вредоносные серверы. По нашим оценкам, только за последние два дня неизвестными злоумышленниками было взломано от 2000 до 10’000 тысяч сайтов, в основном западноевропейских и американских.

Точный способ взлома пока нам неизвестен, но речь может идти о двух наиболее вероятных сценариях — при помощи SQL-инъекций или использования ранее украденных аккаунтов доступа к данным сайтам. Однако большинство взломанных сайтов работает на разнообразных ASP-engines.

Пока масштабы атаки не столь значительны, как в случае с первым «Большим Китайским Хаком», состоявшимся весной этого года и затронувшем более полутора миллионов веб-ресурсов, но скорость развития текущей и схожесть используемых вредоносных программ наводит на мысли о возможности не менее серьезной угрозы.

Как же выглядит вся схема атаки?

В html-код взломанных сайтов добавляется тэг вида:

Ссылка ведет на Java Script, расположенный на одном из шести серверов, служащих гейтами для дальнейшего перенаправления запросов. В настоящий момент нами обнаружено шесть таких гейтов, и мы внесли их в списки запрещенных нашего антивируса:

• armsart.com
• acglgoa.com
• idea21.org
• yrwap.cn
• s4d.in
• dbios.org

Мы рекомендуем всем системным администраторам закрыть доступ к данным сайтам.

Все посетители взломанных сайтов в итоге скрытно перенаправляются на вредоносный сервер, расположенный на территории Китая — vvexe.com.
Дальше в действие вступает набор эксплоитов, которыми атакуются посетители.

В настоящий момент мы наблюдаем использование различных эксплоитов уязвимостей — как в браузере Internet Explorer, так и в Macromedia Flash Player. Кроме того, там используются эксплоиты уязвимости MS08-053 в ActiveX, устраненной патчем от Microsoft меньше двух месяцев назад. Отдельные эксплоиты рассчитаны на заражение пользователей браузера Firefox.

Полный список вредоносных программ на этом сайте, детектируемых нашим антивирусом, довольно обширен:

• Trojan-Downloader.HTML.Agent.ls
• Trojan-Downloader.SWF.Agent.ae
• Trojan-Downloader.SWF.Agent.ad
• Trojan-Downloader.SWF.Agent.af
• Trojan-Downloader.SWF.Small.em
• Trojan-Downloader.SWF.Small.en
• Trojan-Downloader.JS.Agent.cwt
• Trojan-Downloader.JS.Agent.cwu
• Trojan-Downloader.JS.Agent.cww
• Trojan-Downloader.JS.Agent.cwv
• Trojan-Downloader.JS.Agent.cwx
• Trojan-Downloader.JS.Agent.cwy
• Exploit.JS.Agent.xu
• Trojan-Dropper.JS.Agent.z

В случае если пользователь оказался уязвим хотя бы для одного из этих эксплоитов, он будет заражен вредоносной программой Trojan-Downloader.Win32.Hah.a. Она представляет из себя загрузчик, который способен загружать в систему другие вредоносные программы — их количество и файлы определяются в специальном конфигурационном файле, размещенном на том же сайте — http://vvexe.com.

Сегодня мы наблюдаем загрузку им 3-х троянских программ:

1. Trojan-GameThief.Win32.WOW.cer — троянец ориентированный на кражу аккаунтов пользователей онлайн-игры World of Warcraft
2. Trojan-Spy.Win32.Pophot.gen — еще один «шпион», кроме кражи данных еще и пытается удалить с компьютера ряд антивирусных программ.
3. Trojan.Win32.Agent.alzv — осуществляет загрузку в систему еще трех троянских программ-шпионов: Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty

Мы настоятельно рекомендуем всем владельцам сетевых ресурсов, использующих ASP-движки, проверить свои страницы на предмет наличия в них ссылок вида <script src=http://******/h.js> и удалить, если такие будут обнаружены.

Заботьтесь не только о своей безопасности, но, в первую очередь, о безопасности ваших посетителей и клиентов!