Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Ataque de inyección de SQL afecta más de 132 mil sitios.

Un ataque de inyección de SQL a gran escala ha insertado un marco interno (iframe) malicioso en decenas de miles de sitios de Internet susceptibles. Los reportes de ScanSafe indican que el marco interno carga contenido malicioso de 31x.com, el cual eventualmente lleva a la instalación de una variante del troyano Buzus backdoor habilitado con un rootkit.

Una búsqueda en Google reveló que han sido afectados más de 132 mil sitios de Internet este diciembre 10 de 2009.

El marco interno inyectado (cargado a través de una etiqueta script) ejecuta un guión hospedado en 318x.com que crea un nuevo marco interno que apunta hacia 318x.com/a.htm, el cual hace dos cosas: cargar un segundo marco interno desde aa1100.2288.org/htmlasp/dasp/alt.html y cargar un guión desde js.tongji.linezing.com/1358779/tongji.js.

aa1100.2288.org/htmlasp/dasp/alt.html crea un tercer marco interno apuntando hacia aa1100.2288.org/htmlasp/dasp/share.html, carga un guión en js.tongji.linezing.com/1364067/tongji.js (similar al anterior, pero con diferente número) y añade una etiqueta noscript con una liga que apunta hacia www.linezing.com con una imagen tomada de mg.tongji.linezing.com/1364067/tongji.gif.

El archivo share.html detecta el tipo de navegador y carga/escribe múltiples marcos internos apuntando hacia un guión ofuscado localizado en el mismo directorio. La combinación verifica MDAC, OWC10 y varias versiones de Adobe Flash y dependiendo de los resultados puede ocurrir cualquiera de las siguientes cosas:

  • Vulnerabilidad por desbordamiento de entero en Adobe Flash (CVE-2007-0071).

  • Vulnerabilida de ActiveX MDAC ADODB.Connection descrita en MS07-009.

  • Vulnerabilida de componentes de Microsoft Office Web descrita en MS09-032.

  • Vulnerabilidad de vídeo de ActiveX descrita en MS09-032.

  • Corrupción de memoria inicializada unilatreralmente en Internet Explorer, descrita en MS09-002.

Cuando todo lo anterior tiene éxito, se entrega de manera furtiva hxxp://windowssp.7766.org/down/down.css, donde el archivo down.css es en realidad un ejecutable para Win32, que es una variante de la familia de trooyanos Backdoor.Win32.Buzus.

Fuentes: Net Security, vía Slashdot.


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/ataque-inyeccion-sql-afecta-132mil-sitio

[...] un ejecutable para Win32, que es una variante de la familia de trooyanos Backdoor.Win32.Buzus. Fuente: www.alcancelibre.orgSHARETHIS.addEntry({ title: "Ataque de inyección de SQL afecta más de 132 mil sitios.", url: [...] [leer más]

  • Ataque de inyección de SQL afecta más de 132 mil sitios.
  • 0comentarios
  • Crea cuenta nueva
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.