28 czerwca 2004

Rosyjscy hakerzy korzystają z nowych luk w zabezpieczeniach

Eksperci z firmy Kaspersky Lab wykryli nowy rodzaj masowych infekcji wywoływanych przez połączenie szkodliwego oprogramowania z nieautoryzowanym dostępem do komputerów. Atakowane są serwery WWW działające pod kontrolą Microsoft Internet Information Server (IIS) 5, natomiast użytkownicy komputerów stają się ofiarami podczas oglądania zainfekowanych witryn przy użyciu przeglądarki Internet Explorer.

Ataki przeprowadzane są w nietypowy sposób. Dokumenty serwerów WWW są infekowane za pośrednictwem konia trojańskiego napisanego przy użyciu języka programowania JavaScript - Trojan.JS.Scob.a. Dotychczas nie jest jasne czy serwery atakowane są za pośrednictwem nowej, czy też znanej już luki w zabezpieczeniach.

Podczas oglądania zainfekowanej witryny przeglądarka Internet Explorer przekierowywana jest przez trojana pod adres zawierający skrypt PHP. Wykorzystywana jest do tego nieudokumentowana luka w zabezpieczeniach przeglądarki. Następnie na atakowanym komputerze instalowany szkodnik Backdoor.Padodor (w, x, y lub z). Jest to program szpiegowski pozwalający zdalnemu hakerowi na przejęcie pełnej kontroli nad zainfekowanym komputerem.

Padodor został stworzony przez znaną na całym świecie grupę hakerów oraz twórców wirusów HangUpTeam. Grupa ta odpowiedzialna jest za powstanie wielu szkodników, w tym jednego z najnowszych robaków - Padobot znanego również pod nazwą Korgo. Nowy robak atakuje komputery za pośrednictwem luki w zabezpieczeniach usługi LSASS systemów Windows i może wykonywać polecenia przesyłane przez kanały IRC.

Grupa HangUp Team została założona przez trzech Rosjan. W roku 2000 trafili oni do aresztu pod zarzutem tworzenia i rozpowszechniania szkodliwego oprogramowania. HangUp Team działa jednak dalej, a jej nowi członkowie prawdopodobnie pochodzą z całego świata. Grupa znana jest również z kontaktów ze spamerami, którzy wykorzystują sieci zainfekowanych komputerów.

Po raz kolejny mamy do czynienia z powstaniem szkodnika wykorzystującego nową, nieudokumentowaną lukę w zabezpieczeniach oprogramowania. To czy hakerzy odkryli ją sami, czy też zapłacili za informacje nie jest ważne. Istotne jest to, że z powodzeniem udało im się zaatakować serwery IIS na całym świecie w celu rozesłania konia trojańskiego.

Program Kaspersky Anti-Virus wykrywa zarówno nowego robaka Trojan.JS.Scob.a, jak również szkodnika Backdoor.Padodor (wersje x, y oraz z).