Uwaga na WWW!

Jak nie pocztą elektroniczną to przez WWW. Odwiedzając niektóre serwisy internetowe można zainfekować swój komputer groźnym trojanem - ostrzegają specjaliści z firmy NetSec. Hakerzy - wykorzystując znaną już lukę serwera IIS i aplikacji Internet Explorer - włamywali się na korporacyjne serwery WWW i instalowali na nich odpowiednio spreparowany kod JavaScript. Po odwiedzinach na takiej stronie ów kod aktywował proces pobrania i instalowania na dyskach internautów trojanów.

Firma NetSec świadczy usługi z zakresu bezpieczeństwa dla dużych klientów korporacyjnych i sektora administracji. Analiza logów z systemów bezpieczeństwa wykazała pojawienie się podejrzanego ruchu w sieciach klientów firmy. Wybrane komputery (które zostały uprzednio zainfekowane przez spreparowane strony WWW), łączyły się z dwoma adresami IP w Ameryce Północnej i Rosji, pobierając z nich trojany - m.in. pod nazwą msits.exe. Kod tego ostatniego jest wciąż analizowany. Według NetSec jedną z funkcji trojana jest "nasłuchiwanie klawiatury". Mikko Hyppönen, szef firmy F-Secure, poinformował, że chodzi najprawdopodobniej o wykradanie haseł dostępu i numerow kart kredytowych. Trop wiedzie do znanej rosyjskiej grupy hakerów Korgo. Ze względu na potencjalnie dużą ilość zarażonych komputerów trojan mógłby zostać wykorzystany przez twórców także do zmasowanego ataku typu DDoS (Distributed Denial of Service).

NetSec nie podała jakie witryny był źródem infekcji, przyznając jedynie, że chodzi o znane adresy. Zarażone serwery wysyłają złośliwy kod JavaScript z każdym serwowanym plikiem. W grę wchodzi bardzo wiele witryn działających na platformie Windows 2000 Server z IIS (Internet Information Server). Infekcje wybranych serwisów WWW potwierdzili eksperci z SANS Institute.

Przed niebezpieczeństwem ostrzega także Computer Emergency Response Team (CERT), zalecając administratorom przeszukanie kodu witryn pod kątem podejrzanych "kawałków" JavaScript. CERT Polska zaleca użytkownikom przeglądarki Internet Explorer zablokowanie wykonywania skryptów (co ograniczy funkcjonalność aplikacji) lub korzystanie obecnie z innych przeglądarek (Mozilla, Opera). Microsoft pracuje nad odpowiednią łatą do systemu. Firma poinformowała również, że ryzyko nie grozi użytkownikom Windows XP, którzy zainstalowali Service Pack 2 RC2. Jest to jednakże tylko testowa wersja dla anglojęzycznej edycji XP.

W celu zneutralizowania zagrożenia użytownicy powinni uaktualnić definicje wirusów. Aplikacje antywirusowe wykrywają już złośliwy kod JavaScript, rozpoznając go jako - Download.Ject czy Scob.

Jak powiedział nam Przemysław Jaroszewski z CERT Polska: "Według Microsoftu antidotum ma być zainstalowanie SP2 do Windows XP. Jest jednak kilka problemów. Po pierwsze, co mają zrobić użytkownicy wcześniejszych wersji systemu? Po drugie SP2 jest obecnie na etapie Release Candidate. Mimo, że Microsoft zachęca do instalowania go już od jakiegoś czasu, jest to na tyle kompleksowe uaktualnienie, zmieniające znaczną część funkcjonalności systemu, że byłbym ostrożny z namawianiem do instalowania go za wszelką cenę tak szybko, jak to możliwe. Waga luk jest tym większa, że hackerom udało się wykorzystać luki w IIS do umieszczenia kodu wykorzystującego je na zupełnie niewinnych serwerach".


Zobacz również