Download.ject - Download.ject

İçinde bilgi işlem, Download.ject (Ayrıca şöyle bilinir Toofer ve Scob) bir kötü amaçlı yazılım için program Microsoft Windows sunucular. Güvenli olmayan bir web sitesine yüklendiğinde Microsoft internet bilgi servisi (IIS), kötü niyetli JavaScript site tarafından sunulan tüm sayfalara.

Download.ject, kullanıcılarının Internet Explorer Windows için bilgisayarlarına kötü amaçlı yazılım (bir arka kapı ve anahtar kaydedici ) sadece görüntüleme bir web sayfası. 23 Haziran 2004 tarihinde başlayan ve finansal siteleri barındıran birkaç sunucu da dahil olmak üzere birçok sunucuya bulaştığı yaygın bir saldırı sırasında öne çıktı. Güvenlik danışmanları, Opera^[1] veya Mozilla Firefox Bu saldırının ardından IE yerine.

Download.ject bir virüs veya a solucan; kendi kendine yayılmaz. 23 Haziran saldırısının, IIS çalıştıran sunucuların otomatik olarak taranmasıyla gerçekleştiği varsayılıyor.

23 Haziran 2004 Saldırısı

Hackerlar Download.ject'i IIS 5.0 çalıştıran finansal ve kurumsal web sitelerine yerleştirildi Windows 2000, bilinen bir güvenlik açığından yararlanma. (Bir yama güvenlik açığı için vardı, ancak birçok yönetici bunu uygulamadı.) Saldırı ilk olarak 23 Haziran'da fark edildi, ancak bazı araştırmacılar saldırının 20 Haziran gibi erken bir zamanda gerçekleşmiş olabileceğini düşünüyor.

Download.ject, güvenliği ihlal edilmiş sunuculardan tüm web sayfalarına bir JavaScript parçası ekledi. Böyle bir sunucudaki herhangi bir sayfa ile görüntülendiğinde Internet Explorer (IE) için pencereler JavaScript çalışır, çeşitli arka kapı ve anahtar günlükleme programlarından birinin bir kopyasını Rusya'da bulunan bir sunucudan alır ve IE'deki iki deliği kullanarak kullanıcının makinesine yükler - biri yama ile, diğeri olmadan. Bu güvenlik açıkları, Windows için IE'nin tüm sürümlerinde mevcuttu. Windows XP Servis Paketi 2,^[2] o zamanlar sadece beta testindeydi.

Hem sunucu ^[3] ve tarayıcı ^[4] kusurlar bundan önce istismar edilmişti. Bununla birlikte, bu saldırı, ikisini birleştirmek, popüler ana web sitelerine yerleştirilmiş olması (etkilenen sitelerin bir listesi yayınlanmamasına rağmen) ve saldırıda kullanılan ve sayıları binleri bulan güvenliği ihlal edilmiş siteler ağı için dikkate değerdi. daha önceki bu tür tehlikeye atılmış ağlardan.

Microsoft, kullanıcılara bir enfeksiyonun nasıl kaldırılacağı ve maksimum güvenlik ayarlarıyla göz atma konusunda tavsiyelerde bulundu. Güvenlik uzmanları ayrıca JavaScript'i kapatmanızı tavsiye etti. internet tarayıcısı Internet Explorer dışında bir işletim sistemi Windows dışında veya tamamen İnternet'ten uzak durma.

Bu saldırı, 25 Haziran'da Download.ject'in bir arka kapı kurduğu sunucu kapatıldığında etkisiz hale getirildi. Microsoft, 2 Temmuz'da Windows 2000, 2003 ve XP için bir yama yayınladı.

Zamanın e-posta solucanlarıyla karşılaştırıldığında oldukça büyük bir saldırı olmasa da, neredeyse tüm mevcut IE kurulumlarının - o sırada kullanılan web tarayıcılarının% 95'i - savunmasız olduğu ve bunun, bir dizi IE deliğinin sonuncusu olduğu gerçeği temeldeki işletim sistemi savunmasız, basında kayda değer bir endişe dalgasına neden oldu. Windows XP SP2'nin saldırıya karşı savunmasız olmasına rağmen, bazı iş basını bile kullanıcılara diğer tarayıcılara geçmelerini tavsiye etmeye başladı.

Ayrıca bakınız

Tarayıcı savaşları

Referanslar

Dış bağlantılar

Teknik Bilgiler

IIS 5 Web Sunucusu Riskleri (CERT, 24 Haziran 2004)
Güvenliği İhlal Edilmiş Web Siteleri Web Sörfçülerini Etkiliyor (SANS İnternet Fırtına Merkezi, 25 Haziran 2004)
Berbew / Webber / Padodor Trojan Analizi (LURHQ Threat Intelligence Group, 25 Haziran 2004) - kullanıcıların bilgisayarlarına yüklenen arka kapı programının analizi
Download.Ject Hakkında Bilmeniz Gerekenler (Microsoft, 24 Haziran 2004)
Download.Ject Kötü Amaçlı Kod Güvenlik Sorunuyla İlgili Microsoft Bildirimi (Microsoft, 26 Haziran 2004)
Microsoft Güvenlik Bülteni MS04-011: Microsoft Windows için Güvenlik Güncelleştirmesi (835732) (Microsoft, 13 Nisan 2004) - sunucu kusuru için yama
MHTML URL İşleme Güvenlik Açığı (Ortak Güvenlik Açıkları ve Etkilenmeler, 5 Nisan 2004) - o sırada bir düzeltme ekinin mevcut olduğu IE kusuru
Internet Explorer Bölgeler Arası Güvenlik Açığı Sömürü (İnternet Güvenlik Sistemleri, 25 Haziran 2004) - o sırada hiçbir düzeltme eki bulunmayan IE kusuru
ADODB.Stream nesnesi Internet Explorer'dan nasıl devre dışı bırakılır (Microsoft Bilgi Bankası makalesi 870669) - ikinci IE kusuru için yama

basında

MFİB web sitesi Ithaca müşterilerinin bilgisayarlarına bulaşıyor (Mark H.Anbinder, 14850 Bugün, 24 Haziran 2004)
İnternet saldırısını inceleyen uzmanlar (Associated Press, 24 Haziran 2004)
Araştırmacılar bulaşıcı web siteleri konusunda uyardı (Robert Lemos, ZDNet, 24 Haziran 2004)
Web sitesi virüs saldırısı köreldi (Robert Lemos, CNet, 25 Haziran 2004)
İnternet Saldırısı Yavaşlıyor (George V. Hulme, Bilgi Haftası, 25 Haziran 2004)
Windows Kullanıcılarının Verilerini Çalmak İçin Tasarlanmış Virüs: Hedeflenen Yüzlerce Web Sitesi (Brian Krebs, Washington Post, 26 Haziran 2004, sayfa A01)
IE kusuru rakip tarayıcıları güçlendirebilir (Robert Lemos ve Paul Festa, CNet, 28 Haziran 2004)
Yeni IE Kusuru Nedir? (Stephen H. Wildstrom, İş haftası, 29 Haziran 2004)
Internet Explorer Çok Riskli (Stephen H. Wildstrom, İş haftası, 29 Haziran 2004)
Tarayıcı Savaşları Geri mi Döndü ?: Mozilla'nın Firefox'u Internet Explorer'ı nasıl geride bırakıyor? (Paul Boutin, MSN Kayrak, 30 Haziran 2004)
Bruce Schneier: Microsoft'un hâlâ yapması gereken işler var (Bill Brenner, SearchSecurity.com, 4 Ekim 2004)

[schneieropera-1] "Schneier on Security: Microsoft'un hâlâ yapacak işleri var". Alındı 2007-01-08.

[2] ttps://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2brows.mspx#XSLTsection133121120120

[3] ttp://zdnet.com.com/2100-1105_2-5076050.html

[4] ttp://zdnet.com.com/2100-1105_2-5229707.html

[1]

[2]

[3]

[4]