TrendMicro upozorňuje na skutečnost, že www.businessweek.com se stalo obětí hackerů, stejně jako desítky (ne-li stovky) tisíc dalších webů. Z webových stránek tohoto prestižního tištěného titulu se návštěvník mohl v praxi poučit o účniku viru, který byl masově šířen z domény uc8010.com či ucmal.com (a ve stránkách se zpravidla objevoval jako "0.js" a využíval často chybu v RealPlayer software). A jak uvádí Sans.org, stejný problm se objevil u řady vládních webů, stejně tak jako webů školních.

Virus se šíří (a šířil) i z českých stránek - historický výskyt lze snadno nalézt v Google (1), (2). Ze zahraničních stránek je pochopitelně Google podstatně sdílnější (příklad). A Dancho Danchev upozorňuje, že v útoku je používána i doména rnmb.net - v jeho článku najdete i další analýzu toho, jak vlastně probíhá infekce (a jinde prozměnu zjistíte, že zde mohl být použit w.js).

Mimochodem právě rnmb.net je k nalezení (nebo možná byla) na použitém příkladu hacknutého webu - www.escape6.cz. Zajímavé je i to, že se příslušné SCRIPT SRC objevuje v titulku stránky.

Nástrojem hacknutí SQL Injection

Zajímavé je, že podle zahraničních zdrojů je za kompromitací webů často SQL injection (zde vše o tom jak funguje a jak se bránit). Jak můžete vidět například zde, vlastníci/provozovatelé zpravidla vůbec netušili, do jakého problému se dostali.

Dotaz Google na rnmb.net navíc ukazuje, jak velkého počtu webů se týká problém. V době psaní tohoto článku vracel Google 57 900 výsledků, z nichž drtivá většina byly odkazy na stránky obsahující škodlivý kód, pouze pár kusů na články o problému píšící.

Komentáře pro ty z Facebooku