Скачать.ject

В области Download.ject вычислений ( также известный как Toofer и Scob ) представляет собой вредоносную программу для серверов Microsoft Windows . При установке на небезопасный веб-сайт, работающий в службах Microsoft Internet Information Services (IIS), он добавляет вредоносный код JavaScript ко всем страницам, обслуживаемым сайтом.

Download.ject был первым отмеченным случаем, когда пользователи Internet Explorer для Windows могли заразить свои компьютеры вредоносным ПО ( бэкдор и кейлоггер ) просто при просмотре веб-страницы. Он стал известен во время широкомасштабной атаки, начавшейся 23 июня 2004 года, когда он заразил множество серверов, в том числе несколько, на которых размещались финансовые сайты. Консультанты по безопасности начали активно пропагандировать использование Opera. ^[1] или Mozilla Firefox вместо IE после этой атаки.

Download.ject не является вирусом или червем ; он не распространяется сам по себе. Предполагается, что атака 23 июня была осуществлена ​​путем автоматического сканирования серверов, на которых работают IIS.

Хакеры разместили Download.ject на финансовых и корпоративных веб-сайтах под управлением IIS 5.0 в Windows 2000 , взломав известную уязвимость. ( Патч для этой уязвимости существовал, но многие администраторы его не применили.) Атака была впервые замечена 23 июня, хотя некоторые исследователи полагают, что она могла быть осуществлена ​​еще 20 июня.

Download.ject добавил фрагмент JavaScript ко всем веб-страницам со скомпрометированных серверов. Когда любая страница на таком сервере просматривалась с помощью Internet Explorer (IE) для Windows , запускался JavaScript, получал копию одной из различных программ бэкдора и регистрации ключей с сервера, расположенного в России, и устанавливал ее на компьютер пользователя, используя две дыры в IE — одна с патчем, другая без. Эти уязвимости присутствовали во всех версиях IE для Windows, кроме версии, включенной в для Windows XP . пакет обновления 2 ^[2] который в то время находился только в стадии бета-тестирования.

До этого использовались недостатки как сервера, так и браузера. ^{[ нужна ссылка ]} . Однако эта атака была примечательна тем, что она объединила эти две вещи, была размещена на популярных основных веб-сайтах (хотя список затронутых сайтов не был опубликован) и сетью взломанных сайтов, использованных в атаке, которая, как сообщается, насчитывает тысячи, а то и гораздо больше чем любая предыдущая подобная скомпрометированная сеть.

Microsoft посоветовала пользователям, как удалить инфекцию и использовать максимальные настройки безопасности. Эксперты по безопасности также посоветовали отключить JavaScript, использовать веб-браузер, отличный от Internet Explorer, использовать операционную систему, отличную от Windows, или вообще отказаться от Интернета.

Эта конкретная атака была нейтрализована 25 июня, когда сервер, с которого Download.ject установил бэкдор, был отключен. 2 июля Microsoft выпустила патч для Windows 2000, 2003 и XP.

Хотя это и не была значительной атакой по сравнению с почтовыми червями того времени, тот факт, что почти все существующие установки IE — 95% используемых в то время веб-браузеров — были уязвимы, и что это была последняя из серии дыр в IE, оставляющих уязвимость базовой операционной системы вызвала заметную волну беспокойства в прессе. Даже некоторые деловые издания начали советовать пользователям переключиться на другие браузеры, несмотря на то, что предварительная версия Windows XP SP2 была неуязвима для атаки.

• Браузерные войны

• Компромиссы веб-сервера IIS 5 (CERT, 24 июня 2004 г.)
• Скомпрометированные веб-сайты заражают пользователей Интернета (Центр SANS Internet Storm, 25 июня 2004 г.)
• Анализ трояна Berbew/Webber/Padodor (LURHQ Threat Intelligence Group, 25 июня 2004 г.) — анализ программы-бэкдора, установленной на компьютерах пользователей.
• Что следует знать о Download.Ject (Microsoft, 24 июня 2004 г.)
• Заявление Microsoft относительно проблемы безопасности вредоносного кода Download.Ject (Microsoft, 26 июня 2004 г.)
• Бюллетень Microsoft по безопасности MS04-011: Обновление безопасности для Microsoft Windows (835732) (Microsoft, 13 апреля 2004 г.) — исправление для устранения уязвимости сервера
• Уязвимость обработки URL-адресов MHTML («Общие уязвимости и уязвимости», 5 апреля 2004 г.) — уязвимость IE, для которой на тот момент было доступно исправление.
• Использование межзональной уязвимости Internet Explorer (Internet Security Systems, 25 июня 2004 г.) — уязвимость IE, исправление для которой на тот момент не было доступно.
• Как отключить объект ADODB.Stream из Internet Explorer (статья 870669 базы знаний Microsoft) — исправление второй уязвимости IE

• Веб-сайт CFCU заражает компьютеры клиентов Итаки (Марк Х. Анбиндер, 14850, сегодня, 24 июня 2004 г.)
• Эксперты изучают интернет-атаки (Associated Press, 24 июня 2004 г.)
• Исследователи предупреждают об инфекционных веб-сайтах (Роберт Лемос, ZDNet, 24 июня 2004 г.)
• Вирусная атака на веб-сайт остановлена ​​(Роберт Лемос, CNet, 25 июня 2004 г.)
• Интернет-атаки замедляются (Джордж В. Халм, Information Week , 25 июня 2004 г.)
• Вирус, предназначенный для кражи данных пользователей Windows: атакованы сотни веб-сайтов (Брайан Кребс, Washington Post , 26 июня 2004 г., стр. A01)
• Недостаток IE может стимулировать конкурирующие браузеры (Роберт Лемос и Пол Феста, CNet, 28 июня 2004 г.)
• В чем суть нового недостатка IE? (Стивен Х. Уайлдстром, Business Week , 29 июня 2004 г.)
• Internet Explorer слишком рискован (Стивен Х. Уайлдстром, Business Week , 29 июня 2004 г.)
• Вернулись ли войны браузеров?: Как Mozilla Firefox превосходит Internet Explorer (Пол Бутин, MSN Slate , 30 июня 2004 г.)
• Брюс Шнайер: Microsoft еще есть над чем поработать. Архивировано 20 августа 2006 г. на Wayback Machine (Билл Бреннер, SearchSecurity.com, 4 октября 2004 г.).