Botnet Asprox se rozšiřuje přes útoky SQL injection

19. 5. 2008

Sdílet

Botnety lze používat nejen k rozesílání spamu, phishingu či útokům na dostupnost služeb. Útočníci se pokoušejí jejich prostřednictvím provádět i jiné útoky, například pomocí vkládání SQL (SQL injection).

Botnety lze používat nejen k rozesílání spamu, phishingu či útokům na dostupnost služeb. Útočníci se pokoušejí jejich prostřednictvím provádět i jiné útoky, například pomocí vkládání SQL (SQL injection).
Právě tento posun zažil botnet Asprox. Vládci botnetu nyní na „své“ počítače distribuují soubor msscntr32.exe, který se instaluje jako služba předstírající, že je rozšířením centra zabezpečení Microsoftu. Ve skutečnosti ale program instaluje nástroj určený k útokům SQL injection. Soubor msscntr32.exe jinak nefunguje jako červ a dále se nešíří - což ovšem pro útočníky ani není třeba, protože ho pohodlně distribuují v rámci již ovládnutého botnetu.
Soubor použije Google k vyhledávání serverů, které by mohly být zranitelné pomocí těchto útoků, a pak se pomocí SQL injection pokusí na ně vložit kód, jenž návštěvníky přes tag iFrame přesměruje na stránky obsahující malware. Pokud tento proces proběhne a malware se nainstaluje, příslušné počítače se stanou součástí botnetu Asprox.

Na problém upozornila firma SecureWorks. Během prvního dne útoku se takto údajně podařilo kompromitovat více než 1000 serverů, převážně v USA.

Podobný typ SQL útoku pomocí botnetu byl použit i při nedávném napadení, které zasáhlo i server OSN.

Zdroj: Computerworld.com

Viz také:
Masivní útok infikoval i server OSN, o chybě se ale vedou spory
Botnet Kraken padl do rukou výzkumníkům, ti se ale neodvážili počítače čistit

Autor článku