Stáhnout.ject - Download.ject

v výpočetní, Stáhnout.ject (také známý jako Toofer a Scob) je malware program pro Microsoft Windows servery. Při instalaci na nezabezpečeném webu běžícím na Microsoft Internetová informační služba (IIS), připojuje škodlivý JavaScript na všechny stránky obsluhované webem.

Download.ject byl první zaznamenaný případ, kdy uživatelé internet Explorer pro Windows mohl infikovat jejich počítače malwarem (a zadní dveře a záznamník klíčů ) pouze tím, že prohlížení webovou stránku. To se dostalo do popředí pozornosti během rozsáhlého útoku počínaje 23. červnem 2004, kdy infikoval mnoho serverů, včetně několika, které hostovaly finanční stránky. Bezpečnostní poradci prominentně začali propagovat používání Opera^[1] nebo Mozilla Firefox místo IE v důsledku tohoto útoku.

Download.ject není virus nebo a červ; nešíří se sám. Předpokládá se, že útok z 23. června byl zaveden automatickým skenováním serverů se službou IIS.

Útok ze dne 23. června 2004

Hackeři umístil Download.ject na finanční a podnikové weby se spuštěnou IIS 5.0 na Windows 2000, vloupání do použití známé chyby zabezpečení. (A náplast Tato chyba zabezpečení existovala, ale mnoho správců ji nepoužilo.) Útok byl poprvé zaznamenán 23. června, ačkoli někteří vědci si myslí, že mohl být zaveden již 20. června.

Download.ject připojil fragment JavaScriptu ke všem webovým stránkám z ohrožených serverů. Při zobrazení jakékoli stránky na takovém serveru pomocí internet Explorer (IE) pro Okna by se JavaScript spustil, načetl kopii jednoho z různých programů pro backdoor a protokolování klíčů ze serveru umístěného v Rusku a nainstaloval jej na počítač uživatele pomocí dvou otvorů v IE - jednoho s dostupnou opravou, ale druhého bez něj. Tyto chyby zabezpečení byly přítomny ve všech verzích IE pro Windows kromě verze obsažené v Windows XP Service Pack 2,^[2] který byl v té době pouze v beta testování.

Oba server ^[3] a prohlížeč ^[4] před tím byly využity nedostatky. Tento útok byl pozoruhodný kombinací těchto dvou, umístěním na populární běžné webové stránky (ačkoli nebyl zveřejněn seznam ovlivněných webů) a sítí napadených webů použitých při útoku údajně čítající tisíce, mnohem více než jakákoli předchozí takto narušená síť.

Společnost Microsoft doporučila uživatelům, jak odstranit infekci a procházet nastavení zabezpečení na maximum. Bezpečnostní experti také doporučili vypnout JavaScript pomocí a webový prohlížeč jiný než Internet Explorer, pomocí operační systém než Windows, nebo úplně zůstat mimo internet.

Tento konkrétní útok byl neutralizován 25. června, kdy byl vypnut server, ze kterého byl nainstalován soubor Back.ject. Společnost Microsoft vydala opravu pro Windows 2000, 2003 a XP 2. července.

I když nejde o značný útok ve srovnání s e-mailovými červy té doby, skutečnost, že téměř všechny stávající instalace IE - 95% webových prohlížečů používaných v té době - byla zranitelná, a že se jednalo o poslední z řady IE děr opouštějících zranitelný operační systém, způsobil v tisku značnou vlnu obav. Dokonce i některý obchodní tisk začal uživatelům radit, aby přešli na jiné prohlížeče, a to navzdory předprodeji Windows XP SP2, který je při útoku nezranitelný.

Viz také

Války v prohlížeči

Reference

externí odkazy

Technické informace

Kompromisy webového serveru IIS 5 (CERT, 24. června 2004)
Napadené webové stránky infikují webové surfaře (SANS Internet Storm Center, 25. června 2004)
Analýza trojských koní Berbew / Webber / Padodor (LURHQ Threat Intelligence Group, 25. června 2004) - analýza programu backdoor nainstalovaného na počítačích uživatelů
Co byste měli vědět o Download.Ject (Microsoft, 24. června 2004)
Prohlášení společnosti Microsoft týkající se stahování. Problém se zabezpečením škodlivého kódu (Microsoft, 26. června 2004)
Bulletin zabezpečení společnosti Microsoft MS04-011: Aktualizace zabezpečení pro systém Microsoft Windows (835732) (Microsoft, 13. dubna 2004) - oprava pro chybu serveru
Zranitelnost zpracování MHTML URL (Common Vulnerabilities and Exposures, 5. dubna 2004) - chyba IE, pro kterou byla v té době dostupná oprava
Využití zranitelnosti mezi zónami aplikace Internet Explorer (Internet Security Systems, 25. června 2004) - chyba IE, pro kterou v té době nebyla k dispozici žádná oprava
Jak zakázat objekt ADODB.Stream z aplikace Internet Explorer (Článek Microsoft Knowledge Base 870669) - oprava pro druhou chybu IE

Tiskové zpravodajství

Web CFCU infikuje počítače zákazníků Ithaca (Mark H. Anbinder, 14850 dnes, 24. června 2004)
Odborníci studující internetový útok (Associated Press, 24. června 2004)
Vědci varují před infekčními webovými stránkami (Robert Lemos, ZDNet, 24. června 2004)
Virový útok na web byl otupěn (Robert Lemos, CNet, 25. června 2004)
Zpomaluje internetový útok (George V. Hulme, Informační týden, 25. června 2004)
Virus navržený ke krádeži dat uživatelů Windows: Stovky cílených webových stránek (Brian Krebs, Washington Post, 26. června 2004, strana A01)
Chyba IE může zvýšit konkurenční prohlížeče (Robert Lemos a Paul Festa, CNet, 28. června 2004)
O čem je nová chyba IE? (Stephen H. Wildstrom, Pracovní týden, 29. června 2004)
Internet Explorer je prostě příliš riskantní (Stephen H. Wildstrom, Pracovní týden, 29. června 2004)
Jsou války prohlížeče zpět ?: Jak Firefox od Mozilly trumfuje Internet Explorer (Paul Boutin, MSN Břidlice, 30. června 2004)
Bruce Schneier: Microsoft má stále co dělat (Bill Brenner, SearchSecurity.com, 4. října 2004)

[schneieropera-1] „Schneier o zabezpečení: Microsoft má stále co dělat“. Citováno 2007-01-08.

[2] ttps://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2brows.mspx#XSLTsection133121120120

[3] ttp://zdnet.com.com/2100-1105_2-5076050.html

[4] ttp://zdnet.com.com/2100-1105_2-5229707.html

[1]

[2]

[3]

[4]