Вредоносный iframe заразил сотни тысяч сайтов
Специалисты компании ScanSafe
Впервые эта активность была замечена экспертами ScanSafe в конце ноября, но сейчас, похоже, эта зараза стала распространяться семимильными шагами. По данным Google, на данный момент в Сети
(Yahoo!
Подробности заражения самих сайтов в ScanSafe не раскрывают, упоминая лишь, что делается это при помощи SQL-инъекции. Также можно заметить, что среди зараженных сайтов доминируют китайские ресурсы и сайты из зоны .com.
Примечательно, что, несмотря на быстро растущее количество зараженных сайтов, метод инфицирования Windows-компьютеров пользователей, которые их посещают, сравнительно примитивен. Так, подгрузка вредоносного кода идёт через один-единственный домен 318x .com. При этом, правда, используются скрытые iframe и несколько редиректов, но это довольно распространённая практика.
Отметим, что SafeSearch, которым пользуются такие поисковики, как Google и Yahoo!, пометил домен 318x .com как вредоносный, однако большинство сайтов, с которых через iframe подгружается хранящийся там код, пока считаются безопасными.
Интересно также, что хотя заражение производится без непосредственного участия пользователя, то есть через "дыры" в системе и приложениях, злоумышленники, стоящие за атакой, почему-то избегают эксплуатировать популярные ныне уязвимости PDF.
Специалисты ScanSafe насчитали пять известных "дыр", через которые в систему проникает вредонос: одну в Adove Flash Player и четыре — в Windows и других продуктах Microsoft. По большей части это довольно старые "дыры", "заплатки" для которых существуют несколько месяцев и даже лет. Впрочем, самая последняя датируется октябрём этого года.
Пробравшись в систему, вредонос добавляет на жёсткий диск пару файлов и прописывается в реестре, что обеспечивает автоматическую загрузку бэкдора семейства Buzus (классификация "Лаборатории Касперского") при каждом старте Windows. Данный вредонос обычно используется для воровства данных кредитных карт и других видов мошенничества, имеющих отношение к банкам.
По состоянию на вчерашний день, данный конкретный вредоносный код