En PC & Nätverksteknikers tankar

Botnätet Asprox har tidigare mest användts för phishing. De senaste dagarna har det byggts om för att infektera webbsidor och därifrån smitta besökare.

Ett botnät som tidigare mest använts för phishing har börjat infektera webbsidor. Den nya versionen av de små program som utgör klienterna i botnätet Asprox har utrustats med funktionen att leta efter sårbara webbsidor skrivna i Active Server Pages, ASP. När det skadliga programmet hittar en sån sårbar ASP-installation lägger det in en attack-kod i ASP-sidan som försöker smitta webbsidans besökare genom en SQL-injektion.

Den senaste månaden har en liknande attack med trojaner som stjäl lösenord till online-spel infekterat cirka en halv miljon Windowsdatorer. Den attacken ska enligt en talesman för IT-säkerhetsföretaget Secure Works ha kommit från hackare i Kina. Samma talesman, Joe Stewart, säger att den attack som nu sker via botnätet Asprox ser ut som ett sätt att härma attacken som infekterat en halv miljon datorer. Det är dock första gången han sett ett botnät användas för att sprida en SQL-baserad attack. Han tror också att den kommer från Östeuropa.

Själva attacken på webbplatsen sker genom att lägga in en iFrame i sidans kod coh sen smitta besökare med ett skadligt Javascript från domänen "direct84.com". I går hade Asprox infekterat över tusen webbplatser på det sättet, enligt nyhetstjänsten Dark Reading.

Asprox använder också attacken för att rekrytera nya botar till nätverket. Idagsläget består det av cirka 15 000 smittade datorer. Det skickar också ut "scare ware" det vill säga att det varnar för att datorn är smittad och uppmanar användaren att köpa ett program som tar bort smittan. Enligt Stewart är det inte klart vad det är i programmet som användaren köper, det hanteras av ett partner-företag till Asprox. Däremot ger det Asprox-ägaren lite extra pengar och kreditikortsnumret till folk som går att lura på det sättet.

Enligt Virus Total är det idag bara ett fåtal antivirusprogram som upptäcker den typ av attack som Asprox använder.

Ibland är världen rätt ironisk. Vad sägs om en webbplats om en utbildning i informationssäkerhet - som blir hackad och innehöll skadlig kod.

VHS sajt om lediga studieplatser infekterades genom en SQL-injektion. På webbplatsen låg sen ett javascript som pekade på domänen www.nihaoel3.com. En uppmärksam läsare tipsade IDG om detta. De ringde runt lite och kunde konstatera att alla delar av högskoleväsendet inte går helt i takt. Efter ett par timmar stod det dock klart att det faktiskt var en äkta sajt och inte en bluff-sajt som satts upp av bedragare för att lura studenter.

Per Zettervall är IT-chef på Verket för Högskoleservice,VHS. Han bekräftar att VHS hackats genom en brist i SQL-hanteringen.
- Det ska vara till täppt nu och är rapporterat till incidenthanteringen hos Umdac som kör sajten, säger han.
Den sida som javascriptet pekade på är registrerad i Kina.
- Hela databasen var korrupt men det fanns en frisk kopia från 15 maj som vi rullade tillbaka till.

Internet Storm Center går nu ut med en varning om en ny mask som smittar webbsajter innehållandes SQL-databaser. Genom att utföra en enkel sökning på t.ex. Google kan du kontrollera om din sajt har drabbats.

Internet Storm Center arbetar med att spåra webbhot, och har nu hittat en ny mask som har siktat in sig på sajter med SQL-databaser. Ännu så länge har den endast infekterat ca 4 000 sajter, inte så allvarligt för att vara en web-attack, men detta är bara början.

Om du vill kontrollera om din sajt har smittats kan du göra en enkel sökning med Google. I sökrutan skriver du då "site:www.dindomän.se winzipices.cn". Får du då en eller flera träffar på denna sökning så bör du informera den som är ansvarig för sajten.

Källa: Computerworld