六月,一种在感染的微软互联网信息服务(IIS)Web服务器之间蔓延的蠕虫,已经识别出来。这种蠕虫利用了即时消息(IMs),还感染了在俄罗斯、乌拉圭和美国的网站以散布自身。
在安全公司PivX Solution的研究者捕获了新的恶意代码,这些代码非常类似于在六月的时候广泛传播的恶意代码,也就是蠕虫"Scob"和"Download.ject"。
新的攻击使用大量-分布即时消息去引诱互联网用户到一些网站,这些网站散布与Download.ject相似的恶意代码,Thor Larholm说,他是PivX的高级安全研究员。
Scob首次发现于六月二十四日,Scob攻击被认为是一个俄罗斯黑客团体"hangUP team"的所作所为。这个攻击利用在微软对SSL的实现的缓冲区溢出漏洞去威胁运行IIS版本5的Web服务器的安全,而该漏洞的已经发布过补丁了。
使用IIS版本5但是却没有打上最近的安全软件补丁的公司,将更容易受到威胁。
六月的攻击还利用在Windows和Internet Explorer Web浏览器中的两个漏洞,在后台运行恶意代码,而这些恶意代码来自于那些访问过恶意站点的机器上的IIS服务器。这些恶意代码将用户重定向于由黑客控制的网站,并下载可以捕获用户键盘输入和个人信息的木马程序。
新的攻击开始的时候通过使用AOL即时消息或者ICQ即时消息程序来发送即时消息给用户。这个消息邀请接收者点击进入一个网页的链接,一般是使用"欢迎浏览我的新主页"之类的话语。这个消息可能来自陌生人或者是通常的IM通信人或者是"好友",Larholm说。
一旦受害者点击这个链接,他们将被带到几个攻击网页中的一个,这些网页都在位于乌拉圭、俄罗斯和美国的服务器上,并且使用户从这些服务器上下载木马程序。
除了在受害者的机器上打开一个"back door"程序以下载更多的恶意程序之外,新的攻击还会改变受害者的Web浏览器主页或者Outlook e-mail搜索页面,变成包含成人内容的页面,Larholm说。
PivX还在分析这个攻击,去看看恶意代码是否放置在受害者的机器上,但是新型蠕虫使用的大部分文件以及引发的方式,都跟六月份的Scob攻击相当一致,Larholm说。
"这些恶意代码有很多独特之处,但是与Scob却非常相像,"他说。"跟Scob攻击一样,这些代码都跟金钱有关--在这种情况下,可以从某些人处得到广告收益。"
攻击网站利用微软已经发布过安全更新的Internet Explorer以及Outlook的漏洞,使得攻击者可以在没有打过补丁的系统上放置或者运行恶意代码。
两个2003年的补丁:MS03-025和MS03-040可以解决这个被新型蠕虫利用的问题,Larholm说。