Stando al SANS sono circa 226 mila i siti compromessi dal worm che si sta propagando in tutta la rete da qualche settimana.
Siti di e-commerce,privati e persino governativi sono stati facilmente violati dal malware in questione.
I target sono principalmente due: i client (in particolare explorer7) ed i server web targati microsoft(IIS) ,quest'ultimi favoriti come obiettivi.
I client vengono colpiti atttraverso ben 7 diversi exploit che sfruttano le piu recenti vulnerabilità (RealPlayer,iTunes..ecc)
Per quanto riguarda i server,il vettore di attacco consiste in una semplice SQL Injection ,la quale dopo aver enumerato tutte le tabelle interne del db, provvede nell'inserimento dello script (wwwDOTnihaorr1DOTcom/1DOTjs) in ogni record.
Una volta infettato il sistema, lo script provvederà nel download del vero malware ,il quale si compone di :
a)una parte di scanning (un piccolo webbrowser che utilizza google per cercare dei siti vulnerabili)
b)una parte per la proliferazione del worm (ovvero l'inserimento dello script tamite un'sql injection )
La pericolosità della vulnerabilità sfruttata dal worm era già nota da tempo,per di più era anche stata sfruttata di recente per violare il sito ufficiale delle nazioni unite.
Per maggiori informazioni:
Washington Post
Sans
Nessun commento:
Posta un commento