Jak podaje Trend Micro, poprzednie ataki botneta Asprox miały miejsce na przełomie maja i czerwca 2008 roku. Zadaniem Asproksa było początkowo rozsyłanie spamowych e-maili, jednak sytuacja ta zmieniła się diametralnie po tym, jak botnet ten został wykorzystany do przeszukiwania Sieci w poszukiwaniu stron w stworzonych w technologii Active Server Pages (.asp) i atakowania ich za pomocą wstrzyknięcia kodu SQL.

Mechanizm działania był bardzo prosty. Jak widać na przygotowanym przez specjalistów z Trend Micro schemacie, jedna przejęta tak strona jest w stanie przekierować na dowolną liczbę innych witryn, a w konsekwencji narazić użytkowników na ataki niezliczonej ilości szkodników.

Na skutecznie zaatakowane strony wstawiany był kod w JavaScripcie, przekazujący dane do innego skryptu w JS, umieszczonego w specjalnie spreparowanej domenie. Domeny te są częścią sieci fast-flux hostowanej przez sam botnet. Można powiedzieć, że technika ta jest żywcem przejęta z działania innego słynnego botneta – StormWorma.

W trakcie poprzednich ataków złośliwy plik JavaScriptu nosił nazwę b.js. W chwili obecnej zmieniona ona została na ngg.js. Sam kod wygląda następująco:

Jak można się przekonać po analizie zamieszczonego powyżej kodu (uwaga: niektóre jego części zostały celowo usunięte w celu uniemożliwienia powielania metody), skrypt tworzy ciasteczko, które wygasa po 9 dniach. Ciasteczko to służy jako swoisty znacznik infekcji. Jeżeli jest obecne w cache'u przeglądarki, to nie dzieje się nic, jeśli jednak ciasteczko nie zostało znalezione, użytkownik jest przekierowywany na inną złośliwą stronę.

Samo przekierowanie nie jest jedynym niebezpieczeństwem: jeżeli przeglądarka, z której się łączymy, ma jakieś niezałatane podatności, botnet nie omieszka z nich skorzystać i dołączyć do swojej sieci kolejnego elementu.

Na koniec trzeba podkreślić jeden fakt – ataki tego typu są bardzo skuteczne, praktycznie niedostrzegalne dla zwykłego użytkownika. Wszystko bowiem odbywa się w „cichy” sposób, w tle normalnej pracy przeglądarki. Jak więc się przed nim chronić? Najlepszymi metodami są staranne śledzenie biuletynów bezpieczeństwa i dbałość o to, aby nasza przeglądarka, podobnie i jak nasz system, miała zawsze pełny zestaw aktualizacji.

źródło: infoprof.pl