Wirusy, robaki, phishing VI-XII 2006

Przeczytaj także: Wirusy, robaki, phishing I-VI 2007

Porównując domeny używane przez wirusa z domenami w wiadomościach spamowych, widać, że pokrywają się one ze sobą, co dowodzi, że stanowią część jednej operacji. W listopadzie Warezov wciąż się rozprzestrzeniał.

Serwisy społecznościowe zagrożone robakiem

Pod koniec lipca zespół badawczy odkrył nowe przykłady robaków atakujących aplikacje webowe, wykorzystujących luki w serwisach internetowych, umożliwiające ataki typu XSS (Cross Site Scripting – polegające na wysyłaniu do klienta niesprawdzonego kodu, pobranego z zewnątrz). Jest to nowa kategoria złośliwego oprogramowania i coraz większy problem serwisów w Internecie. Najczęściej wybieranym celem są teraz serwisy społecznościowe, co ma związek z ich olbrzymią popularnością i bazą użytkowników.

Serwis MySpace został zaatakowany już przez dwa takie robaki – Samy w październiku 2005 r. i Flash w lipcu 2006 r. Robak Samy został napisany przez kogoś, kto chciał zyskać popularność w MySpace. Jego autor zaprojektował go w taki sposób, aby robak przemierzał strony serwisu, dodając w szaleńczym tempie poszczególne osoby do listy przyjaciół autora. Wynik: ponad milion „przyjaciół” w ciągu kilku godzin. Robak Flash wykorzystywał lukę oprogramowania Macromedia Flash w celu przekierowania użytkowników z serwisu MySpace do niestosownych treści.

W lipcu MySpace padło też ofiarą złośliwej reklamy bannerowej, uruchomionej w serwisie. Banner wykorzystywał lukę w obsłudze WMF w Windows, wyświetlając niechciane reklamy na komputerach ponad miliona użytkowników, których maszyny nie były odpowiednio zabezpieczone.

W następstwie tych ataków F-Secure postanowiło sprawdzić, na ile bezpieczne są inne popularne serwisy społecznościowe w obliczu robaków wykorzystujących luki XSS. Wybrano dwa serwisy tego typu spośród ścisłej czołówki. Łączna liczba ich użytkowników wynosi 80 milionów. W ciągu pół godziny odkryto ponad pół tuzina dających się potencjalnie wykorzystać za pomocą robaków luk XSS w każdym serwisie! Poszukiwania zostały zakończone po odkryciu sześciu luk, ale nie ma wątpliwości, że jest ich znacznie więcej. Napastnik mający przeciętną wiedzę na temat javascriptu mógłby w ciągu góra jednego dnia stworzyć robaka wykorzystującego jedną z nich.

Warto też wziąć pod uwagę następującą kwestię: Banner reklamowy wykorzystujący lukę WMF pomyślnie dotarł do około miliona użytkowników. Zautomatyzowany robak, wykorzystujący w podobnie złośliwy sposób słabość WMF lub inną, podobną lukę w przeglądarce, być może nawet dopiero co wykrytą, mógłby potencjalnie dosięgnąć dużo większą grupę niezabezpieczonych maszyn. Teoretycznie mogliby to być nawet wszyscy użytkownicy serwisu...