Массовый взлом привел к установке вредоносного ПО на тысячи сайтов
10.06.2010 09:32
—
Новости Hi-Tech
Свыше ста тысяч веб-страниц, некоторые из которых принадлежат газетам, полиции и другим крупным организациям, в течение последних нескольких дней подверглись массированной кибератаке, в результате которой их посетители перенаправлялись на подставной ресурс, предпринимавший попытки установки вредоносного ПО.
По словам главного вирусного аналитика фирмы Sucuri Давида Деде, массовой компрометации подверглись сайты, которые имеют модули баннерной рекламы, работающие поверх серверов Microsoft IIS и использующие ASP.net. Среди инфицированных ресурсов значатся Intljobs.org, главный сайт газеты The Wall Street Journal, tomtom.com, сайт одного из британских полицейских отделений и другие порталы. Во вторник общее число таких веб-страниц превышало 100 тысяч, на момент написания статьи их оставалось около 7750.
Заражение веб-ресурсов происходило с помощью SQL-инъекций в поля ввода поисковых запросов. Использование эксплоита позволило хакерам разместить на пострадавших сайтах вредоносные IFrame, с помощью которых их посетители перенаправлялись на страницу robint.us. Установленные там JavaScript пытались инфицировать конечных пользователей вирусом Mal/Behav-290.
Сейчас сайт Robint.us уже отключен от Сети благодаря усилиям некоммерческой организации Shadowserver Foundation. Отключение ресурса позволит аналитикам Shadowserver получить полный список скомпрометированных сайтов и собрать дополнительную информацию о способах осуществления атаки. Всю эту информацию в ближайшее время планируется сделать доступной публично.
На данный момент известно, что SQL-атаки проводились с китайского IP-адреса 121.14.154.69.
По словам главного вирусного аналитика фирмы Sucuri Давида Деде, массовой компрометации подверглись сайты, которые имеют модули баннерной рекламы, работающие поверх серверов Microsoft IIS и использующие ASP.net. Среди инфицированных ресурсов значатся Intljobs.org, главный сайт газеты The Wall Street Journal, tomtom.com, сайт одного из британских полицейских отделений и другие порталы. Во вторник общее число таких веб-страниц превышало 100 тысяч, на момент написания статьи их оставалось около 7750.
Заражение веб-ресурсов происходило с помощью SQL-инъекций в поля ввода поисковых запросов. Использование эксплоита позволило хакерам разместить на пострадавших сайтах вредоносные IFrame, с помощью которых их посетители перенаправлялись на страницу robint.us. Установленные там JavaScript пытались инфицировать конечных пользователей вирусом Mal/Behav-290.
Сейчас сайт Robint.us уже отключен от Сети благодаря усилиям некоммерческой организации Shadowserver Foundation. Отключение ресурса позволит аналитикам Shadowserver получить полный список скомпрометированных сайтов и собрать дополнительную информацию о способах осуществления атаки. Всю эту информацию в ближайшее время планируется сделать доступной публично.
На данный момент известно, что SQL-атаки проводились с китайского IP-адреса 121.14.154.69.