En informática , Download.ject (también conocido como Toofer y Scob ) es un programa de malware para servidores de Microsoft Windows . Cuando se instala en un sitio web inseguro que se ejecuta en Microsoft Internet Information Services (IIS), agrega JavaScript malicioso a todas las páginas servidas por el sitio.
Download.ject fue el primer caso en el que los usuarios de Internet Explorer para Windows podían infectar sus computadoras con malware (una puerta trasera y un registrador de teclas ) simplemente viendo una página web. Cobró importancia durante un ataque generalizado que comenzó el 23 de junio de 2004, cuando infectó muchos servidores, incluidos varios que alojaban sitios financieros. Los consultores de seguridad comenzaron a promover de manera prominente el uso de Opera [1] o Mozilla Firefox en lugar de IE a raíz de este ataque.
Download.ject no es un virus ni un gusano ; no se propaga por sí solo. Se supone que el ataque del 23 de junio se implementó mediante el escaneo automático de servidores que ejecutan IIS.
Ataque del 23 de junio de 2004
Los piratas informáticos colocaron Download.ject en sitios web financieros y corporativos que ejecutan IIS 5.0 en Windows 2000 , utilizando una vulnerabilidad conocida. ( Existía un parche para la vulnerabilidad, pero muchos administradores no lo habían aplicado). El ataque se notó por primera vez el 23 de junio, aunque algunos investigadores piensan que puede haber estado en vigor ya el 20 de junio.
Download.ject agregó un fragmento de JavaScript a todas las páginas web de los servidores comprometidos. Cuando se visualizaba una página de dicho servidor con Internet Explorer (IE) para Windows , el JavaScript se ejecutaba, recuperaba una copia de uno de los diversos programas de puerta trasera y de registro de claves de un servidor ubicado en Rusia y lo instalaba en la máquina del usuario, utilizando dos agujeros en IE - uno con un parche disponible, pero el otro sin él. Estas vulnerabilidades estaban presentes en todas las versiones de IE para Windows, excepto en la versión incluida en Windows XP Service Pack 2, [2] que solo estaba en prueba beta en ese momento.
Tanto los fallos del servidor [3] como del navegador [4] habían sido explotados antes de esto. Sin embargo, este ataque fue notable por combinar los dos, por haber sido colocado en sitios web populares (aunque no se publicó una lista de sitios afectados) y por la red de sitios comprometidos utilizados en el ataque que supuestamente se cuentan por miles, muchos más. que cualquier red comprometida anterior.
Microsoft aconsejó a los usuarios cómo eliminar una infección y navegar con la configuración de seguridad al máximo. Los expertos en seguridad también aconsejaron apagar JavaScript, usar un navegador web que no sea Internet Explorer, usar un sistema operativo que no sea Windows o permanecer fuera de Internet por completo.
Este ataque en particular fue neutralizado el 25 de junio cuando se cerró el servidor desde el cual Download.ject instaló una puerta trasera. Microsoft emitió un parche para Windows 2000, 2003 y XP el 2 de julio.
Aunque no es un ataque considerable en comparación con los gusanos de correo electrónico de la época, el hecho de que casi todas las instalaciones existentes de IE (el 95% de los navegadores web en uso en ese momento) eran vulnerables, y que este fue el último de una serie de agujeros de IE que se fueron el sistema operativo subyacente vulnerable, provocó una notable ola de preocupación en la prensa. Incluso algunos medios empresariales empezaron a aconsejar a los usuarios que cambiaran a otros navegadores, a pesar de que el Windows XP SP2 de la versión preliminar era invulnerable al ataque.
Ver también
Referencias
- ^ "Schneier sobre seguridad: Microsoft todavía tiene trabajo por hacer" . Consultado el 8 de enero de 2007 .
- ^ https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2brows.mspx#XSLTsection133121120120
- ^ http://zdnet.com.com/2100-1105_2-5076050.html
- ^ http://zdnet.com.com/2100-1105_2-5229707.html
enlaces externos
Información técnica
- Compromisos del servidor web IIS 5 (CERT, 24 de junio de 2004)
- Los sitios web comprometidos infectan a los internautas (SANS Internet Storm Center, 25 de junio de 2004)
- Berbew / Webber / Padodor Trojan Analysis (LURHQ Threat Intelligence Group, 25 de junio de 2004): análisis del programa de puerta trasera instalado en las PC de los usuarios
- Lo que debe saber sobre Download.Ject (Microsoft, 24 de junio de 2004)
- Declaración de Microsoft sobre el problema de seguridad del código malicioso Download.Ject (Microsoft, 26 de junio de 2004)
- Boletín de seguridad de Microsoft MS04-011: Actualización de seguridad para Microsoft Windows (835732) (Microsoft, 13 de abril de 2004): parche para fallas en el servidor
- Vulnerabilidad de procesamiento de URL MHTML (Vulnerabilidades y exposiciones comunes, 5 de abril de 2004): la falla de IE para la que había un parche disponible en ese momento.
- Explotación de vulnerabilidades entre zonas de Internet Explorer (Internet Security Systems, 25 de junio de 2004): el defecto de IE para el que no había ningún parche disponible en ese momento.
- Cómo deshabilitar el objeto ADODB.Stream desde Internet Explorer (artículo 870669 de Microsoft Knowledge Base): el parche para la segunda falla de IE
cobertura de prensa
- El sitio web de la CFCU infecta las computadoras de los clientes de Ithaca (Mark H. Anbinder, 14850 Today, 24 de junio de 2004)
- Expertos que estudian los ataques a Internet (Associated Press, 24 de junio de 2004)
- Los investigadores advierten sobre sitios web infecciosos (Robert Lemos, ZDNet, 24 de junio de 2004)
- Ataque de virus en un sitio web embotado (Robert Lemos, CNet, 25 de junio de 2004)
- Disminución del ataque de Internet (George V. Hulme, Information Week , 25 de junio de 2004)
- Virus diseñado para robar datos de usuarios de Windows: cientos de sitios web dirigidos (Brian Krebs, Washington Post , 26 de junio de 2004, página A01)
- La falla de IE puede impulsar los navegadores rivales (Robert Lemos y Paul Festa, CNet, 28 de junio de 2004)
- ¿De qué se trata el nuevo defecto de IE? (Stephen H. Wildstrom, Business Week , 29 de junio de 2004)
- Internet Explorer es demasiado arriesgado (Stephen H. Wildstrom, Business Week , 29 de junio de 2004)
- ¿Han vuelto las guerras de navegadores ?: Cómo Firefox de Mozilla triunfa sobre Internet Explorer (Paul Boutin, MSN Slate , 30 de junio de 2004)
- Bruce Schneier: Microsoft todavía tiene trabajo por hacer (Bill Brenner, SearchSecurity.com, 4 de octubre de 2004)