Download.ject - Download.ject
W informatyce , Download.Ject (znany również jako Toofer i Scob ) jest malware program Microsoft Windows serwerach. Po zainstalowaniu w niezabezpieczonej witrynie internetowej działającej w Internetowych usługach informacyjnych (IIS) firmy Microsoft dołącza złośliwy kod JavaScript do wszystkich stron obsługiwanych przez tę witrynę.
Download.ject był pierwszym odnotowanym przypadkiem, w którym użytkownicy Internet Explorera dla Windows mogli zainfekować swoje komputery złośliwym oprogramowaniem ( backdoor i key logger ) po prostu przeglądając stronę internetową. Stał się widoczny podczas szeroko zakrojonego ataku, który rozpoczął się 23 czerwca 2004 r., Kiedy zainfekował wiele serwerów, w tym kilka z witrynami finansowymi. W następstwie tego ataku konsultanci ds. Bezpieczeństwa wyraźnie zaczęli promować używanie Opery lub Mozilla Firefox zamiast IE.
Download.ject nie jest wirusem ani robakiem ; nie rozprzestrzenia się samoczynnie. Przypuszcza się, że atak z 23 czerwca został przeprowadzony poprzez automatyczne skanowanie serwerów z uruchomionymi usługami IIS.
Atak z 23 czerwca 2004 r
Hakerzy umieścili Download.ject na finansowych i korporacyjnych witrynach internetowych korzystających z IIS 5.0 w systemie Windows 2000 , włamując się przy użyciu znanej luki. (Dla luki istniała łatka , ale wielu administratorów jej nie zastosowało). Atak został po raz pierwszy zauważony 23 czerwca, chociaż niektórzy badacze uważają, że mógł mieć miejsce już 20 czerwca.
Download.ject dołączył fragment JavaScript do wszystkich stron internetowych z zaatakowanych serwerów. Gdy jakakolwiek strona na takim serwerze była przeglądana za pomocą przeglądarki Internet Explorer (IE) dla systemu Windows , uruchamiany był JavaScript, pobierał kopię jednego z różnych programów typu backdoor i logowania kluczy z serwera znajdującego się w Rosji i instalował go na komputerze użytkownika za pomocą dwie dziury w IE - jedna z dostępną łatką, druga bez. Luki te występowały we wszystkich wersjach IE dla Windows, z wyjątkiem wersji zawartej w dodatku Service Pack 2 dla systemu Windows XP , która w tym czasie była tylko w fazie testów beta.
Wcześniej wykorzystano wady serwera i przeglądarki. Atak ten był jednak godny uwagi ze względu na połączenie tych dwóch, zaatakowanie go na popularnych witrynach głównego nurtu (chociaż lista witryn, których dotyczy ten problem, nie została opublikowana) oraz na sieć zaatakowanych witryn wykorzystanych w ataku, liczącą podobno tysiące, a nawet więcej. niż jakakolwiek wcześniejsza sieć, której bezpieczeństwo zostało naruszone.
Firma Microsoft doradziła użytkownikom, jak usunąć infekcję i przeglądać maksymalnie ustawienia zabezpieczeń. Eksperci zalecali również wyłączenie JavaScript, korzystanie z przeglądarki internetowej innej niż Internet Explorer, używanie systemu operacyjnego innego niż Windows lub całkowite wyłączanie Internetu.
Ten konkretny atak został zneutralizowany 25 czerwca, kiedy serwer, z którego Download.ject zainstalował backdoora, został zamknięty. Microsoft wydał poprawkę dla Windows 2000, 2003 i XP 2 lipca.
Chociaż nie był to duży atak w porównaniu z robakami pocztowymi w tamtych czasach, fakt, że prawie wszystkie istniejące instalacje IE - 95% przeglądarek internetowych używanych w tamtym czasie - były podatne na ataki i było to ostatnie z serii luk IE, które pozostawiły Podatność podstawowego systemu operacyjnego wywołała znaczną falę zaniepokojenia w prasie. Nawet prasa biznesowa zaczęła doradzać użytkownikom przejście na inne przeglądarki, pomimo tego, że wersja wstępna Windows XP SP2 była niewrażliwa na atak.
Zobacz też
Bibliografia
Zewnętrzne linki
Specyfikacja
- Włamania na serwer sieci Web w usługach IIS 5 (CERT, 24 czerwca 2004)
- Zaatakowane witryny internetowe infekują internautów (Centrum burzowe SANS Internet, 25 czerwca 2004)
- Berbew / Webber / Padodor Trojan Analysis (LURHQ Threat Intelligence Group, 25 czerwca 2004) - analiza programu typu backdoor zainstalowanego na komputerach użytkowników
- Co powinieneś wiedzieć o Download.Ject (Microsoft, 24 czerwca 2004)
- Oświadczenie firmy Microsoft dotyczące problemu z zabezpieczeniem Download.Ject Malicious Code (Microsoft, 26 czerwca 2004)
- Biuletyn zabezpieczeń firmy Microsoft MS04-011: Aktualizacja zabezpieczeń dla systemu Microsoft Windows (835732) (Microsoft, 13 kwietnia 2004 r.) - poprawka usuwająca lukę serwera
- MHTML URL Processing Vulnerability (Common Vulnerabilities and Exposures, 5 kwietnia 2004) - luka IE, dla której dostępna była wówczas łatka
- Wykorzystanie luki w zabezpieczeniach międzystrefowej przeglądarki Internet Explorer (Internet Security Systems, 25 czerwca 2004 r.) - luka IE, dla której nie była wówczas dostępna żadna łatka
- Jak wyłączyć obiekt ADODB.Stream w przeglądarce Internet Explorer (artykuł 870669 z bazy wiedzy Microsoft Knowledge Base) - łatka na drugą lukę w IE
Relacje prasowe
- Witryna internetowa CFCU infekuje komputery klientów Itaki (Mark H. Anbinder, 14850 Today, 24 czerwca 2004)
- Eksperci badający ataki internetowe (Associated Press, 24 czerwca 2004)
- Badacze ostrzegają przed infekcyjnymi witrynami internetowymi (Robert Lemos, ZDNet, 24 czerwca 2004)
- Stępiony atak wirusa witryny sieci Web (Robert Lemos, CNet, 25 czerwca 2004)
- Spowolnienie ataku internetowego (George V. Hulme, Tydzień informacyjny , 25 czerwca 2004)
- Wirus zaprojektowany do kradzieży danych użytkowników systemu Windows: zaatakowane setki witryn internetowych (Brian Krebs, Washington Post , 26 czerwca 2004, strona A01)
- Wada IE może wzmocnić konkurencyjne przeglądarki (Robert Lemos i Paul Festa, CNet, 28 czerwca 2004)
- Na czym polega nowa luka w IE? (Stephen H. Wildstrom, Business Week , 29 czerwca 2004)
- Internet Explorer jest po prostu zbyt ryzykowny (Stephen H. Wildstrom, Business Week , 29 czerwca 2004)
- Are the Browser Wars Back?: Jak Mozilla Firefox przebija Internet Explorera (Paul Boutin, MSN Slate , 30 czerwca 2004)
- Bruce Schneier: Microsoft wciąż ma do zrobienia (Bill Brenner, SearchSecurity.com, 4 października 2004)