Zombihálózat telepíti a weboldalakba a trójaikat letöltő kódokat

[Techworld] A SecureWorks szerint már zombihálózatot, botnetet is felhasználnak arra, hogy a támadható weboldalakba trójaikat, kártékony programokat letöltő kódokat illesszenek. Az első ilyen célra (is) létrehozott, ismert hálózat az Asprox botnet.

Az Asprox hálózatába tartozó számítógépek -- azt követően, hogy kéretlen levelek ezreivel újabb számítógépeket próbálnak saját hálózatukhoz csatolni -- az msscntr32.exe állományt regisztrálják szolgáltatásként a Windowsban "Microsoft Security Center Extension" néven. A program gyakorlatilag egy SQL-injekciós segédprogram, mely ezt követően a Google segítségével keres támadható weboldalakat.

Amennyiben megfelelő, sebezhető, még nem fertőzött weboldalra bukkan, ismert biztonsági rések segítségével iFrame kódot illeszt a weboldalba, mely a látogatókat a direct84.comról próbálja kártékony programmal megfertőzni. Az Asprox emellett olyan oldalakra irányítja át a számítógép böngészőjét, ahonan további kártevők, a Danmec trójai is települ az operációs rendszerbe.

"Ez az első eset, hogy ilyen SQL-injekciós segédprogramra találtunk, de valószínűleg más botnetek is hasonlóval próbálkoznak" -- nyilatkozta Joe Stewart, a SecureWorks kutatólaborjának igazgatója, aki az eWeeknek adott nyilatkozatában a hálózat méretét 15 ezer gépre becsülte. A SecureWorks egyelőre ezer weboldalt talált, melyet ezzel a módszerrel támadtak meg, de a legutóbbi, pár napja történt SQL-es támadással ismét félmillió weboldalba illesztettek kártékony programot letöltő JavaScript kódokat.