Несколько дней назад в списке рассылки Full Disclosure появилось сообщение об интересной вредоносной программе для Linux. Это очень любопытный образец – не только потому, что он предназначен для 64-разрядных платформ Linux и скрывает свое присутствие в системе с помощью хитроумных методов, но прежде всего из-за необычного функционала, связанного с заражением сайтов, размещенных на подвергшемся атаке HTTP-сервере. Таким образом, мы имеем дело с вредоносной программой, используемой для организации drive-by загрузок вредоносного ПО.

Вредоносный модуль создан специально для версии ядра 2.6.32-5-amd64. Это новейший вариант ядра, используемый в 64-разрядной системе Debian версии Squeeze. Исполняемый файл имеет размер более 500 кБ, но это связано с тем, что он был скомпилирован с отладочной информацией. Возможно, модуль находится на стадии разработки: создается впечатление, что некоторые функции не до конца отлажены или, может быть, еще не полностью реализованы.

Недавно нам встретился web-зловред (http://www.securelist.com/en/blog/208193624/Who_is_attacking_me), который вместо внедрения iframe, указывающего на фиксированный существующий адрес, генерирует псевдослучайное доменное имя, зависящее от текущей даты. Такой подход не нов – он широко используется ботнетами при генерировании доменного имени командного сервера; однако он не особо типичен для web-зловредов, которые мы видели до сих пор.

После деобфускации видим, что iframe, перенаправляющий пользователя на вредоносный URL-адрес со сгенерированным доменным именем, прикреплен к HTML-файлу. Все URL-адреса состоят из 16 псевдослучайных букв, относятся с домену .ru и выполняют PHP-скрипт на стороне сервера со строкой sid=botnet2 в качестве аргумента:

Каждый день создается новое доменное имя, так что бороться с ними, внося становящиеся активными вредоносные URL-адреса в черные списки, сродни донкихотству. К счастью, если мы знаем алгоритм, мы можем легко прогнозировать доменные имена для любой будущей даты. Этот зловред детектируется продуктами «Лаборатории Касперского» как Trojan-Downloader.JS.Agent.gsv.

Несколько дней назад я написала в блоге о предназначенном для платформы osCommerce PHP/JavaScript-зловреде, в котором для обфускации вредоносного кода применен новый интересный прием. Так получилось, что чуть позже я наткнулась на еще более «продвинутый» образец PHP-инфектора, также в связи с уязвимым решением для электронной коммерции.

Мой коллега из польского офиса нашей компании попросил меня помочь с обнаружением вредоносного ПО, от которого пострадал интернет-магазин его друга. HTML-страница магазина при открытии ее в браузере содержала ссылку на скрипт jquery.js в генерируемом случайным образом домене третьего уровня в бесплатном домене cx.cc. При этом в исходных файлах на сервере этой ссылки и в помине нет. Поставить диагноз оказалось несложно: данный фрагмент кода добавляется динамически каким-то зараженным PHP-скриптом.

Мы просмотрели все PHP-файлы на сервере и были удивлены: на первый взгляд, ничего подозрительного в них не было. Однако, памятуя о зловреде div_colors, я принялась изучать код строку за строкой. В конце концов мое внимание привлекла небольшая функция в начале одного из основных PHP-файлов.

Новые методы внедрения обманным способом вредоносного кода на вебсайты — прекрасный способ сбить с толку и пользователей, и защитные программы. Недавно я обнаружила интересную атаку на платформу для онлайн-шоппинга, при которой вредоносный скрипт внедрялся в PHP-файлы, эксплуатируя уязвимость Remote File Inclusion в программном обеспечении osCommerce.