Néhány hónap múlva az SQL Web Attack újból elterjed

A támadott számítógépek botnet-hálózata az elmúlt napokban újra életre kelt, és elkezdte megfertőzni a weboldalakat, hogy támadhassák a számítógépet a gyanútlan látogatókkal szemben.

Named Asprox, a használt eszköztár után a támadások miatt ez a hálózat májusban és júniusban figyelmet szentelt, amikor több mint tízezer webes weboldalt fertőzött meg több mint 1000 webes tartományban, jellemzően a kisvállalkozások, iskolák és helyi önkormányzatok internetes oldalainak megfertőzésével.

"Több hónapja a botnet visszaáll a régi trükkökre "- írta Gary Warner, a Birmingham-i Alabama Egyetem számítógépes bűnügyi kutatójának igazgatója egy csütörtöki blogbejegyzésen.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat Windows PC]

Biztonsági szállító A SecureWorks néhány nappal ezelőtt felvette a támadást, amikor észrevette, hogy az úgynevezett SQL injekciós támadások a cég ügyfelei ellen irányulnak - mondta Jason Milletary, a cég biztonsági kutatója. Azonban nem világos, hogy a támadások annyira virulensek-e, mint korábban.

Egy SQL injekciós támadásban a bűnözők kihasználják az adatbázis-programozási hibákat, hogy megpróbálják megcsalálni a weboldalakat a támadási kódjuk kiküldésében. Az Asprox alkalmazással ez az SQL befecskendezési folyamat automatizált, ezért nagyon sok idő alatt hozzáadhat rosszindulatú programokat sok webhelyhez.

Az Asprox egy kis JavaScript kódot helyez el a feltört weboldalon, amely láthatatlan HTML elemet generál, amelyet iFrame-nek neveznek, ami viszont elindítja a támadási kódot. A Warner szerint legalább az Asprox kód néhány mintája kihasználja a hibát az Adobe Flash Player-ben.

A Shadowserver biztonsági felügyeleti csoport kutatói azt állították, hogy több mint 2000 olyan weboldalt nyomon követnek, amelyeket a legújabb Asprox-támadás fertőzött meg, sokkal kevesebb weboldalt, mint amit a rosszindulatú szoftverek első verziója támadott.

Egy e-mail interjúban a Shadowserver Mike Johnson azt mondta, hogy az Asprox banda felülírta a rosszindulatú programokat, megváltoztatta a kód konfigurációs fájlszerkezetét, és új parancsot és vezérlõ számítógépeket, amelyeket nem használtak a múltban. "Szinte úgy néz ki, mintha az előző botnet elvesztése után elkezdenék kezdeni a semmiből" - mondta.

Az Asprox jelenleg nem jelent komoly problémát a legtöbb internethasználó számára, mondják a biztonsági szakértők; ez csak egy újabb jel az állandóan fennálló veszélyeknek az interneten.

"Az embernek várnia kell a rosszindulatú webhelyekről" - mondta Johnson. "Az embereknek arra kell számítaniuk, hogy az ártatlan webhelyek valamilyen módon, formájukban vagy formájukban sérülnek, majd megpróbálják támadni a böngészőt."