Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Net-Worm.JS.Twettir.b

Net-Worm.JS.Twettir.b

Время детектирования	13 апр 2009 23:16 MSK
Время выпуска обновления	14 апр 2009 04:06 MSK
Описание опубликовано	21 апр 2009 19:18 MSK

Технические детали

Семейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney.

Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.

Основной функционал червей содержится в трех функциях:

XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;
Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;

Wait – содержит вредоносный функционал.

Net-Worm.JS.Twettir.b — обфусцированный вариант червя.

В данной версии у пользователя не меняется статус, но обновляются параметры user[url] и user[profile_link_color], через POST-запросы, с помощью которых на страницу добавляется один из следующих скриптов, выбираемый случайным образом:

http://content.ireel.com/jsxss.js
http://content.ireel.com/xssjs.js
http://bambamyo.110mb.com/wompwomp.js

Кроме того, от имени текущего пользователя посылается сообщение посредством POST-запроса twitter-пользователю с id = 30685046, содержащее строку “You got me. :)”

Также червь изменяет параметры пользователя на следующие:

user[url]=Mikeyy+++++++++++++++++++++++++++++++++++++;
user[profile_background_color]="+urlencode('##Mikeyy')+"

в результате чего у зараженного пользователя меняется имя аккаунта и фон его страницы.

Печать

Закладки

Вредоносные программы

Вирусы и черви

Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Другие модификации

Net-Worm.JS.Twettir.a

Net-Worm.JS.Twettir.c

Net-Worm.JS.Twettir.d

Net-Worm.JS.Twettir.e

Net-Worm.JS.Twettir.f

Net-Worm.JS.Twettir.g

Net-Worm.JS.Twettir.h

Другие названия

Net-Worm.JS.Twettir.b («Лаборатория Касперского») также известен как:

Trojan.JS.Agent.yn («Лаборатория Касперского»)
Trojan: JS/Twettir.b (McAfee)
JS/Twitter-A (Sophos)
W32/Twitter.A.worm (Panda)
JS/Twettir.B (FPROT)
Worm:JS/Twitime.C (MS(OneCare))
Trojan.JS.Twettir.B (BitDef7)
JS:Twettir-B [Expl] (AVAST)
Net-Worm.JS.Twettir (Ikarus)
Generic_c.AJTL (AVG)
JS/Twettir.b (AVIRA)
Worm:JS/Twettir.B [Orion] (FSecure)
JS_TWETTIR.A (TrendMicro)

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com