Скрипт LizaMoon найден уже на 500 тысячах сайтов



    Еще 31 марта во многих интернет-сми, в том числе, и на Хабре, появилась новость о том, что эксперты обнаружили массовую SQL-инъекцию вредоносного скрипта LizaMoon. На тот момент количество зараженных сайтов достигало около 200 тысяч. На днях команда специалистов провела повторный поиск (собственно, ничего сложного — специалисты использовали поиск Google для обнаружения зараженных сайтов). В результате выяснилось, что эпидемия не пошла на спад, наоборот — уже 1 апреля около полумиллиона сайтов содержали этот скрипт.

    Конечно, поисковая выдача Google — не идеальный инструмент для проведения такого анализа, но и такой способ позволяет получить грубое представление о масштабах эпидемии. Предполагаемое количество зараженных сайтов в настоящий момент — 1,5 миллиона. Задача скрипта LizaMoon проста — перенаправлять пользователя, зашедшего на зараженный сайт, на другой сайт, который создан злоумышленниками.

    Далее пользователь видит сообщение о том, что безопасность его компьютера под угрозой, и «сканер» обнаружил всякие там бреши в защите. После того, как пользователь нажимает «ОК», начинается «сканирование» компьютера, в результате чего находится большое количество «вирусов». После окончания работы этого «сканера» пользователю предлагается удалить все вирусы, путем скачивания «антивируса» на свой ПК. Само собой, вместо эффективного антивируса наивный юзер получает руткит, блокирующий работу некоторых вполне нормальных программ.

    При попытке запуска такой программы, фальшивый антивирус сообщает о том, что на ПК обнаружен троянчик, и тут же выводится сообщение с предложением удалить найденный «троян». При нажатии копки «удалить», зловредное ПО предлагает установить еще более «эффективный инструмент» для борьбы с этими вирусами. В общем, к концу такой проверки своего ПК на наличие вирусов пользователь получает целый зверинец вирусов и троянов, которые начинают работать на благо создателя.

    Фальшивый антивирус, к слову, называется Windows Stability Center, и за его «полную версию» пользователю еще и предлагают заплатить.

    Наибольшее распространение проблема с LizaMoon получила в США, в Канаде, Италии, Бразилии, Великобритании. По мнению экспертов из Websense, эпидемии подобного масштаба случаются очень редко, и теперь вряд ли проблему удастся быстро локализовать. В настоящее время всего 17 из 43 более-менее известных антивирусов определяют троянское ПО, полученное благодаря скрипту LizaMoon. Среди «правильного» ПО, которое таки обнаруживает весь этот зверинец — антивирусы от Kaspersky, Microsoft, Sophos, Symantec, Trendmicro, VIPRE.

    Via Yahoo
    Поддержать автора
    Поделиться публикацией

    Комментарии 62

      +10
      Интересно, оно под Wine запускается?
        +2
        Ну, если пошаманить и настроить Wine, то можно и запустить…
        Когда-то, давно, пробовал из спортивного интересу.
        Заработал кучу «экспиренс» и «левел ап», разобрался в настройках Wine,
        но вирусёнок так и не стартовал.

        С тех пор уже вымерли динозавры, так что не гарантирую,
        что этот данный конкретный не запустится ;)
          +2
          Ни как не получается скачать что бы проверить =(
            +3
            Не надо скачивать, надо прикинуться нубом, оно само загрузится))
              0
              Так нет нигде, все сайты выпилены.
          +1
          Так а основная цель — это создание ботнета или получение данных пользователя, или и то, и другое?
          Распространяется ли этот зверь по локальной сети?
            –3
            > пользователю предлагается удалить все вирусы, путем скачивания фальшивого антивируса на свой ПК
              +4
              И что?
                0
                Ну я надеюсь на то, что он все же не будет использовать хитрый прием для установки на компьютеры «по личной инициативе самого пользователя», а затем использовать какие-нибудь известные трояны для распространения дальше, уже по локальной сети
                  +3
                  Чтобы удалить все «вирусы» нужно купить полную версию этого «антивируса».
                    0
                    А потом вручную разослать его всем знакомым.
                0
                Основная цель фейкового антивируса — это чтобы его купили. Потому он всячески пугает пользователя. Но попутно с ним могут установить что угодно, в том числе и всякие вирусы/боты.

                Т.е. владельцы фейкового антивиря и сети зараженных сайтов скорее всего разные.
                0
                А почему не прикроют сайт на который происходит редайрект?
                  0
                  Предполагаю что тут же появляется новый.
                  +1
                  А avast эту гадость попалит?
                    +2
                    Однажды уже предлагали скачать такой «антивирус».
                    По-моему, от таких вирусов лучшее лекарство — это просто бдительность и осведомленность, что не надо качать с сети все, что предлагается. Правда бдительности и осведомленности у половины пользователей не найти. Вот так вирусы и плодятся…
                      0
                      Ну так, народ в напёрстки до сих пор играет с охотой и готовностью, а тут такие высокие технологии. Такие вещи не переведутся, пока неизменна человеческая природа.
                        0
                        Спасибо, кэп!

                        (Простите, не сдержался ^^)
                        +16
                        По жизни офигевал — каким нужно быть дебилом, чтобы верить в подобную чепуху.

                        Отдельно доставляли раньше «антивирусы», нашедшие на фрёвой тачке папку c:\windows\system32.
                          0
                          Фря по десктоп заточеная?
                            +1
                            Да… Я раньше любил позаниматься брейнфаком и десктопил с фряхи/опёнка.
                              0
                              BlackBox — наше все ;)
                            0
                            Да, забавно было под маком видеть попап оформленный под виндового проводника.
                              0
                              Ну, ты меня понял. :)
                                0
                                и найденными вирусами в c:/win…
                                  +4
                                  * c:\win…
                                    +11
                                    Во-во, сразу палишься как невиндовер. ;)
                                0
                                ага, и на бубунтах тоже находит
                                  +2
                                  За 3 года, которые мне известно про такие фальшивые сканеры в интернете, ещё ни одна дискуссия про них не обошлась без фразы «особенно смешно, когда он у меня в Линуксе\Маке\Фре\ Досе(:-) нашел папку С:\windows».
                                    +1
                                    Прошу прощения, я тут новенький. :)
                                      0
                                      Прощения тут просить не за что ИМХО, просто ремарка.
                                    +1
                                    Это вы как айтишник говорите, а как насчет обычного неопытного пользователя, которых в интернете большинство?

                                    Только не говорите, что все ваши родственники, бабушки и дедушки настолько опытны, что очень быстро разобрались во всех тонкостях интернета. Научить не запускать ничего, что пришло по почте и не заходить не на какие левые сайты еще можно, но если табличка появилась при заходе на какой-то провереный сайт?
                                      0
                                      У меня все-все-все ещё с девяностых приучены всему чему угодно на автомате. Ничего сложного пару раз объяснить с простыми аналогиями, почему нельзя было дискеты оставлять в дисководе, почему нельзя открывать файлы/ссылки в аське не переспросив что это, и так далее.

                                      Просто есть разница между отдавать отчёт своим действиям, нет, и звонить спрашивать что происходит.
                                    +12
                                    Так, самое интересное забыли написать. Что это за «массовая sql-инъекция», которая «заражает» 500 тысяч сайтов. И как sql-инъекция связана со скриптами?
                                      +2
                                      Наверно, поражает какой-то популярный движок вроде Wordpress.
                                        0
                                        Ну должно быть так.

                                        Странно но не на яху, ни на cnn ничего описательного нету.
                                          +6
                                          Уязвимы сайты на Microsoft платформе, подробности на вебсенс
                                          community.websense.com/blogs/securitylabs/archive/2011/03/31/update-on-lizamoon-mass-injection.aspx
                                            +1
                                            Q: Could this mean that there's a vulnerability in Microsoft SQL Server 2003 and 2005?
                                            A: No. Everything points to that this is a vulnerability in a web application. We don't know which one(s) yet but SQL Injection attacks work by issuing SQL commands in unsanitized input to the server. That doesn't mean it's a vulnerability in the SQL Server itself, it means that the web application isn't filtering input from the user correctly.
                                              0
                                              500 000 не сэнитайзят? Враки. сто пудов баг, не может же быть что абсолютное большинство виндовиков говнокодеры и не могут экранировать строки
                                              +1
                                              Там куча ПХП сайтов. Это же легко проверить, просто вбиваеш тоже самое в Гуголь и уже на второй третьей странице находиш пхп сайты. Вчера кстати пхп сайт был вообще первый в выдаче.
                                                +2
                                                Скажите, а давно на хабре стало принято плюсовать откровенный гон, если он направлен против Microsoft?
                                                Прекрасно известно, что SQL injection — это проблема не SQL сервера, а автора приложения. По вашей же ссылке видно, что проблема — в кривых PHP скриптах, в которых SQL injection уязвимости находят постоянно. Вы когда-нибудь видели «ASP.Net injection» (а PHP injection достаточно распространены)? Или Вы видели где-то видели на практике SQL injection в ASP.Net?
                                            +1
                                            А кто процессит платежи по этому продукту?
                                              +10
                                              хронопей?
                                                0
                                                редай лично ))
                                                0
                                                Тоже интересно, потому что с такого объема заражений должны быть оочень и очень неплохие деньги, а это быстро палиться. Или они прикрывались всякими условиями и правилами использования. Хотя наверное сложно написать в условиях, что после установки антивируса ваш копьютер будет тотально порабащен.
                                              +7
                                              Думаю это месть МСу за недавно прикрытый ботнет
                                                +1
                                                интересно, avast free antivirus найдет или не найдет?
                                                  +6
                                                  Вот он — перевернутый мир…
                                                  Мороженое съедает детей, «антивирусы» заражают компы… :)
                                                    +1
                                                    Мы именно в таком мире и живем.

                                                    Пираты, прикрываясь законом об авторском праве, наживаются на писателях, артистах, программистах и прочих творческих людях, делясь с ними крохами от своего монополизированного пирога.

                                                    А человек, всего лишь скопировавший байты информации, по сути увеличивший количество информационного продукта за свой счет, теперь называется пиратом и подлежит уголовному преследованию за то, что не дал ворам у него же украсть.

                                                    Самозащита от бандитов наказывается уголовным преследованием.

                                                    «Это реальный мир, детка...»
                                                    –2
                                                    видел как-то в живую на одном из сайтов это
                                                    только спалилось оно на том, что нашло у меня вирусы в c:\windows в linux'е :)
                                                      0
                                                      Я не удивляюсь даже тому, что и некоторые пользователи Linux кликают кнопку «ОК — просканировать».
                                                        –1
                                                        я всегда виндовозного ослика из wine запускаю на такой сайт, но все равно не инсталлируются нормально трояны такие. а жаль, всегда хочется поиграться, а времени чтоб нормально с бубном потанцевать — не хватает :)
                                                          +2
                                                          Напишите в поддержку :)
                                                          +13
                                                          когда-нибудь кто-то сделает руткит под линукс, оформит под проводник виндовый. линуксоиды с улюлюканьем побегут кликать и будет довольно весело :)
                                                            +7
                                                            Только в 2038 когда линукс обгонит айфон на рынке десктоп-решений ;)
                                                              0
                                                              Точно! Даёшь кросплатформенные вирусы! :)
                                                                +1
                                                                И мобильную версию для Iphone & Android
                                                            +2
                                                            Вот бы такой простой и красивый интерфейс в настоящие антивирусы…
                                                              +1
                                                              Ну вот в MSE всё imageчистенько, например.
                                                                0
                                                                Я так и не смог понять, как там поставить автообновление, хотя уже давненько им пользуюсь )

                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                            Самое читаемое