Štetni widget zarazio milione sajtova

Vesti, 18.08.2010, 00:15 AM

Kompanija za web hosting Network Solutions potvrdila je u ponedeljak da je nenamerno nudila korisnicima maliciozni widget na neaktivnim ili rezervisanim ('parked') domenima, ali da još uvek nije poznato koliko je domena do sada zaraženo.

Procena eksperata za bezbednost je da se broj sajtova koji su hostovali maliciozni widget kreće između 50000 i 5 miliona, i ukoliko se ova procena pokaže tačnom, ovo bi mogao biti slučaj najmasovnije infekcije web sajtova ikad zabeležene.

Masovnu infekciju su otkrili stručnjaci kompanije Armorize Technologies koji su analizirali infektivan widget “Small Business Success Index” koji se distribuirao kao deo standardnog programskog paketa domena, nudeći kupcima koji su želeli da registruju domene značajno povećanje prevalencije.

Widget je svaki zaraženi domen pretvarao u sajt za drive-by napad pokretanjem “Nuke” toolkit-a, a pogođeni su bili korisnici browser-a Internet Explorer, Firefox, Chrome i Opera. Kada bi toolkit uspešno hakovao browser kompjutera, instalirao bi se softver za monitoring (dubbed lsass.exe) koji bi pratio aktivnost browser-a. Ovaj softver bi potom tragao za određenim ključnim rečima i preusmeravao bi browser na reklamne pay per click sajtove (pay per click - plaćanje po kliku). Dodatno, maliciozni softver je tragao za share-ovanim fajlovima i P2P networking softverom, kopirajući i preimenujući maliciozni program u te direktorijume kako bi se dalje širio.

Napadači su najvećim delom ostvarivali profit zahvaljujući pop-up reklamama koje su se pojavljivale na zaraženim računarima.

Iako nije poznato koliko dugo je infektivni widget deo standardnog programskog paketa domena, iz kompanije Armorize Technologies smatraju da je vidget aktivan poslednjih osam meseci.

Network Solutions je onemogućio infektivni widget na svim 'parked' domenima, ali je ostalo oko 5700 aktivnih sajtova na kojima je widget manualno instaliran.

Više detalja na