Tietoturva

Haittaohjelmaa jakava koodi levisi sadoille tuhansille sivustoille

Julkaistu:

Ennennäkemättömän laaja sql-injektio -tyyppinen verkkohyökkäys on tehnyt sadoista tuhansista verkkosivuista haittaohjelmien levittäjiä. Sivuilla vierailijoiden koneisiin tarttuu tietoturvaohjelmalta näyttävä Windows Stability Center -haittaohjelma.


Ilmeisesti sadat tuhannet verkkosivustot ovat ilmeisesti joutuneet verkkohyökkäyksen kohteeksi.


Hyökkäys perustuu niin sanottuun sql-injektio -tekniikkaan, jonka avulla sivuille on voitu ujuttaa vierasta koodia. Tässä tapauksessa sivuille upotettu koodi vaikuttaa siten, että nettisivulle pyrkivät siirtyvätkin automaattisesti toiselle, haittaohjelmaa levittävälle sivulle.

Google-haun perusteella haittakoodia löytyy jo 1,5 miljoonalta sivustolta. Määrä on kuitenkin todennäköisesti liian suuri, sillä  hyökkäys vaikuttaa tartuttaneen jopa 1,5 miljoonaa verkkosivua, mutta tartunnan saaneiden sivustojen ja domain-osoitteiden määrä on luultavasti pienempi.

Tietoturvayhtiö Websense on antanut hyökkäykselle nimen "LizaMoon", sillä se oli ensimmäinen domain-osoite, jolle hyökkäyskoodi siirsi kävijöitä. Hyökkäyskoodin levitessä yhä uusille sivustoille ovat tietoturvatutkijat havainneet siitä uusia versioita, jotka ohjaavat noin pariinkymmeneen muuhun haittaohjelmaa levittävään osoitteeseen.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Sivuilla kävijöiden tietokoneisiin asentuu virustorjuntaohjelmalta näyttävä Windows Stability Center -niminen haittaohjelma. Ohjelma alkaa näyttää aiheettomia varoituksia tietokoneella muka olevista viruksista.

Ilmaiseksi tarjotut väärennetyt virustorjuntaohjelmat ovat internetissä yleinen riesa. Ohjelmat lupaavat puhdistaa koneen olemattomista viruksista, jos käyttäjä hankkii ohjelmasta maksullisen version. Todellisuudessa ohjelmat eivät poista tai torju viruksia, ja raha menee verkkorikollisten tileille.

Ensimmäisen kerran Websensen tutkijat havaitsivat LizaMoonin 29. maaliskuuta, joten se on levinnyt muutamassa päivässä todella nopeasti.

Websense yrittävät selvittää nopean leviämisen syitä. Toistaiseksi haittakoodia on löydetty verkkosivustoilla, jotka sijaitsevat Microsoft SQL Server 2003 - ja 2005 -tietokannoissa. Websensen mukaan sql-haavoittuvuus sijaitsee kuitenkin luultavasti esimerkiksi tiedonhallinta- ja blogijärjestelmissä, jotka toimivat näillä palvelinjärjestelmissä.

Kommentit

    Näytä lisää