Ataque de inyección de SQL afecta más de 132 mil sitios.

Un ataque de inyección de SQL a gran escala ha insertado un marco interno (iframe) malicioso en decenas de miles de sitios de Internet susceptibles. Los reportes de ScanSafe indican que el marco interno carga contenido malicioso de 31x.com, el cual eventualmente lleva a la instalación de una variante del troyano Buzus backdoor habilitado con un rootkit.

Una búsqueda en Google reveló que han sido afectados más de 132 mil sitios de Internet este diciembre 10 de 2009.

El marco interno inyectado (cargado a través de una etiqueta script) ejecuta un guión hospedado en 318x.com que crea un nuevo marco interno que apunta hacia 318x.com/a.htm, el cual hace dos cosas: cargar un segundo marco interno desde aa1100.2288.org/htmlasp/dasp/alt.html y cargar un guión desde js.tongji.linezing.com/1358779/tongji.js.

aa1100.2288.org/htmlasp/dasp/alt.html crea un tercer marco interno apuntando hacia aa1100.2288.org/htmlasp/dasp/share.html, carga un guión en js.tongji.linezing.com/1364067/tongji.js (similar al anterior, pero con diferente número) y añade una etiqueta noscript con una liga que apunta hacia www.linezing.com con una imagen tomada de mg.tongji.linezing.com/1364067/tongji.gif.

El fichero share.html detecta el tipo de navegador y carga/escribe múltiples marcos internos apuntando hacia un guión ofuscado localizado en el mismo directorio. La combinación verifica MDAC, OWC10 y varias versiones de Adobe Flash, y dependiendo de los resultados puede ocurrir cualquiera de las siguientes cosas:

  • Vulnerabilidad por desbordamiento de entero en Adobe Flash (CVE-2007-0071).
  • Vulnerabilida de ActiveX MDAC ADODB.Connection descrita en MS07-009.
  • Vulnerabilida de componentes de Microsoft Office Web descrita en MS09-032.
  • Vulnerabilidad de vídeo de ActiveX descrita en MS09-032.
  • Corrupción de memoria inicializada unilatreralmente en Internet Explorer, descrita en MS09-002.

Cuando todo lo anterior tiene éxito, se entrega de manera furtiva hxxp://windowssp.7766.org/down/down.css, donde el fichero down.css es en realidad un ejecutable para Win32, que es una variante de la familia de trooyanos Backdoor.Win32.Buzus.

Fuentes: Net Security, vía Slashdot.

Dejar un comentario?

0 Comentarios.

Deje un comentario


NOTA - Puede usar estosHTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Translate »