Det har i den siste tiden vært flere "mass SQL injection"-angrep som utnytter sårbare webapplikasjoner (phpbb, mambo, osv). Og sist denne helga har vi sett at flere hundre tusen nettsteder har blitt kompromittert og fått lagt inn ondsinnet kode - og denne gangen er det tilsynelatende gjengen bak Zlob som står bak.
Kodesnutten som blir lagt inn på de kompromitterte nettstedene laster xprmn4u.info/f.js eller free.hostpinoy.info/f.js. Disse skriptene redirecter brukeren til hxxp://freedd.albhost.info/go.php?sid=1, som via flere redirects, til slutt forsøker å lure brukeren til å laste ned hxxp://codecmega.com/download/codecmega4254.exe (eller hxxp://codecmega.com/download/codecmega1000.dmg hvis man bruker Safari/Mac), ved å vise følgende nettside:
xprmn4u.info. 14400 IN A 217.199.217.9
freedd.albhost.info. 86400 IN A 209.51.196.252
free.hostpinoy.info. 86400 IN A 209.51.196.254
codecmega.com. 86400 IN A 64.28.184.188
AS | IP | CC | AS Name
34221 | 217.199.217.9 | RU | QL-AS JSC QUICKLINE Autonomous System
10297 | 209.51.196.252 | US | COLUMBUSNAP - The Columbus Network Access Point, Inc.
10297 | 209.51.196.254 | US | COLUMBUSNAP - The Columbus Network Access Point, Inc.
27595 | 64.28.184.188 | US | INTERCAGE - InterCage, Inc.
1 kommentar:
Legg inn en kommentar