Проснувшийся ботнет Asprox продолжает свое победное шествие по рунету. Вредный червь не только рассылает спам, но и взламывает сайты, дабы расширить свои владения.
На сегодняшний день ботнет взломал уже более 5 тысяч ресурсов – все они находятся в доменной зоне ru.
Сайт proit.com.ua сообщает, что ботнет Asprox (Net-Worm.Win32.Aspxor)для заражения использует такую технологию, как ASP (Active Server Pages) и с помощью SQL-инъекции, внедряет iframe-редиректы. Далее, когда на пораженный сайт заходят пользователи, редирект перенаправляет браузер на цепочку поддоменов с вредоносным JavaScript-кодом. И если все проходит успешно, на компьютеры пользователей загружается копия бота, которая будет распространяться на сайты, посещаемые пользователями.
Исследователи M86 Security сумели выяснить, к каким доменам обращается Asprox за инструкциями – все они находятся в fast-flux и располагаются в зоне .ru. С командного сервера вредоносный червь получает зашифрованный xml-файл содержащий список почтовых адресов для спам-рассылки, данные для модификации SQL-запроса, а также адреса сайтов, на которые будет производиться атака.