Поиск по этому блогу

14 февр. 2009 г.

Новый вирус для Windows атакует PHP и ASP скрипты


http://securitylabs.websense.com/content/Assets/BlogMedia/020609-kernel32_base1.jpg

Исследователи обнаружили новый штамм вируса, который способен быстро распространяться от одной машины к другой, используя для этого различные методы. Среди них – отравление веб-серверов, которые после этого инфицируют посетителей.

Обнаруженный образец является одной из разновидностей быстро мутирующего вируса, известного как Virut (или Virux). Он известен тем, что способен встраиваться в исполняемые файлы, и затем распространяться на другие машины через сетевые диски и USB-накопители.

Обнаруженный вариант, которому в Microsoft присвоили имя Virus:Win32/Virus.BM, отличается способностью к заражению веб-скриптов, написанных на языках PHP и ASP, а так же HTML-страниц. В зараженных серверах обнаруживаются iFrame, через которые предпринимаются попытки заразить посетителей. Такие iFrame скрытно перенаправляют пользователей на сайт zief.pl, который при помощи многочисленных эксплоитов пытается найти уязвимость в браузере или других приложениях. После установки вирус внедряется в различные системные процессы (такие, как explorer.exe и winlogon.exe), а также устанавливает хуки на низкоуровневые программные интерфейсы Windows, обеспечивая себе постоянное присутствие в памяти.

Вирус полиморфен, что затрудняет его обнаружение антивирусными программами. Помимо прочего, в нем используется многоуровневое кодирование, позволяющее изменять сигнатуру вируса, сохраняя при этом функциональность. На зараженных машинах устанавливается бэкдор, который соединяется с несколькими адресами через 80-ый порт. Детальный анализ данного вредоносного приложения доступен по этому адресу.

http://www.xakep.ru/post/47153/default.asp

1 комментарий:

Alexander Z комментирует...

звучит и выглядит как то неприятно :( читаю уже глаза слипаются, ускользнуло как он обходит ситуацию, если пользователь например не имеет административных прав на машине.

Sociable