Эксперты не могут проникнуть в тайну вредоносного скрипта

Загадка с «сетью» инфицированных сайтов немного прояснилась, но по-прежнему не решена.

14 января мы писали о заражении нескольких сотен сайтов некоторым, не известным раннее, методом. Мэри Лэндсмэн (Mary Landesman), специалист ИБ из ScanSafe, которая, собственно, и объявила об обнаружении необычной атаки, обратилась за помощью к специалистам безопасности с целью исследования данного инцидента.

Cайты содержат вредоносный скрип с динамичным именем, причем сам скрипт генерируется при посещении пользователем главной страницы зараженного сайта. Большинство исследователей не видели ранее ничего подобного. Обычно зараженные сайты просто «ссылаются» на «атакующие» сервера, на которых размещены вредоносные файлы со статическими именами.

Новый метод атаки представляет большой интерес, поскольку вредоносный код просто не существует на сайте до тех пор, пока пользователь не посетит его. Скрипт остается невидимым для администраторов сайта. Генерация случайного имени защищает скрипт от обнаружения большинством антивирусов. Кроме того, вредоносный код нельзя обнаружить при помощи поисковых систем.

Согласно первоначальным исканиям Лэндсмэн, количество зараженных сайтов составляет несколько сотен. Но после дополнительных исследований эксперты ИБ пришли к выводу, что эта цифра значительно больше, сообщается на channelregister.co.uk.

По мнению специалистов из SecureWorks и Finjan заражено порядка 10 тыс. сайтов. Хакеры, создавшие вредоносный код, для установки бэкдора эксплуатируют уязвимости в QuickTime, Yahoo! Messenger и ОС Windows.