Download.ject

Im Computer, Download.ject (auch bekannt als Toofer und Scob) ist ein Malware Programm für Microsoft Windows Server. Wenn Sie auf einer unsicheren Website installiert werden, läuft auf Microsoft Internetinformationsdienste (IIS), es endet böswillig an JavaScript auf alle Seiten, die von der Website bedient werden.

Download.ject war der erste bekannte Fall, in dem Benutzer von Benutzern Internet Explorer für Windows könnte ihre Computer mit Malware (a) infizieren Hintertür und Schlüssellogger) nur durch Betrachtung eine Internetseite. Es wurde bei einem weit verbreiteten Angriff am 23. Juni 2004 bekannt, als es viele Server infizierte, einschließlich mehrerer, in denen Finanzstandorte veranstalteten. Sicherheitsberater begannen prominent mit der Förderung der Verwendung von Oper^[1] oder Mozilla Firefox statt IE nach diesem Angriff.

Download.ject ist nicht a Virus oder ein Wurm; Es verbreitet sich nicht von selbst. Der Angriff vom 23. Juni wird angenommen, dass er durch automatisches Scannen von Servern, die IIS ausgeführt haben, eingesetzt worden sein.

Angriff vom 23. Juni 2004

Hacker platziert download.ject auf finanzielle und korporate Websites, die IIS 5.0 aufführen Windows 2000Einbruch der Verwendung einer bekannten Verwundbarkeit. (EIN Patch Für die Verwundbarkeit existierte, aber viele Administratoren hatten sie nicht angewendet.) Der Angriff wurde erstmals am 23. Juni bemerkt, obwohl einige Forscher der Meinung sind, dass er bereits am 20. Juni vorhanden war.

Download. Wenn eine Seite auf einem solchen Server mit angezeigt wurde Internet Explorer (Dh) für FensterDas JavaScript würde ausgeführt, eine Kopie eines der verschiedenen Backdoor- und wichtigsten Protokollierungsprogramme von einem in Russland befindlichen Server abrufen und auf dem Maschine des Benutzers mit zwei Löchern im IE - eines mit einem Patch verfügbar, aber ohne den anderen, installieren. Diese Schwachstellen waren in allen Versionen von IE für Windows vorhanden, mit Ausnahme der in enthaltenen Version Windows XP Service Pack 2,^[2] das war damals nur bei Beta -Tests.

Sowohl der Server- als auch der Browserfehler waren zuvor ausgenutzt worden. Dieser Angriff war jedoch bemerkenswert für die Kombination der beiden, die auf beliebte Mainstream -Websites (obwohl eine Liste betroffener Websites nicht veröffentlicht wurde) und für das Netzwerk von kompromittierten Standorten, die bei dem Angriff verwendet wurden als jedes frühere solch kompromittierte Netzwerk.

Microsoft beriet den Benutzern, wie eine Infektion entfernt werden und die Sicherheitseinstellungen maximal durchsuchen. Sicherheitsexperten raten auch beim Ausschalten von JavaScript mit a Webbrowser Anders als Internet Explorer mit einem Betriebssystem Außer Windows oder insgesamt vom Internet.

Dieser besondere Angriff wurde am 25. Juni neutralisiert, als der Server, aus dem der Download eine Backdoor installierte, geschlossen wurde. Microsoft gab am 2. Juli einen Patch für Windows 2000, 2003 und XP aus.

Obwohl kein beträchtlicher Angriff im Vergleich zu E -Mail -Würmern der Zeit, war die Tatsache, dass fast alle vorhandenen Installationen des IE - 95% der zu diesem Zeitpunkt verwendeten Webbrowser - anfällig waren und dass dies der neueste in einer Reihe von IE -Löchern war Das zugrunde liegende Betriebssystem verursachte in der Presse eine bemerkenswerte Besorgniswelle. Sogar einige Business Press raten den Benutzern, zu anderen Browsern zu wechseln, obwohl der damals vorbereitete Windows XP SP2 für den Angriff unverwundbar ist.

Siehe auch

• Browserkriege

Verweise

Externe Links

Technische Information

• IIS 5 Webserver Kompromisse (Cert, 24. Juni 2004)
• Kompromente Websites Infizieren Web -Surfer infizieren (SANS Internet Storm Center, 25. Juni 2004)
• Berbew/Webber/Padodor Trojan Analyse (Lurhq Threat Intelligence Group, 25. Juni 2004) - Analyse des Backdoor -Programms, das auf den PCs der Benutzer installiert ist
• Was Sie über Download.ject wissen sollten (Microsoft, 24. Juni 2004)
• Microsoft -Erklärung zum Download.jecting Bösartige Code -Sicherheitsprobleme (Microsoft, 26. Juni 2004)
• Microsoft Security Bulletin MS04-011: Sicherheits-Update für Microsoft Windows (835732) (Microsoft, 13. April 2004) - Patch für Serverfehler
• MHTML -URL -Verarbeitung Sicherheitsanfälligkeit (Häufige Schwachstellen und Expositionen, 5. April 2004) - Der IE -Fehler, für den zu diesem Zeitpunkt ein Patch verfügbar war
• Internet Explorer Cross-Zone-Verwundbarkeit Ausbeutung (Internet Security Systems, 25. Juni 2004) - Der IE -Fehler, für den zu diesem Zeitpunkt kein Patch verfügbar war
• So deaktivieren Sie das Adodb.Stream -Objekt vom Internet Explorer (Microsoft Knowledge Basis Artikel 870669) - Der Patch für den zweiten IE -Fehler

Press coverage

• Die CFCU -Website infiziert die Computer von Ithaca -Kunden (Mark H. Anbinder, 14850 heute, 24. Juni 2004)
• Experten, die einen Internetangriff studieren (Associated Press, 24. Juni 2004)
• Forscher warnen vor ansteckenden Websites (Robert Lemos, Zdnet, 24. Juni 2004)
• Websites -Virus -Angriff stumpf (Robert Lemos, CNET, 25. Juni 2004)
• Internetangriff verlangsamt sich (George V. Hulme, Informationswoche, 25. Juni 2004)
• Virus zum Stehlen von Windows -Benutzerndaten: Hunderte von Websites, die gezielt wurden (Brian Krebs, Washington Post, 26. Juni 2004, Seite A01)
• Dh fehler kann konkurrierende Browser steigern (Robert Lemos und Paul Festa, CNET, 28. Juni 2004)
• Worum geht es im neuen IE -Fehler? (Stephen H. Wildstrom, Arbeitswoche, 29. Juni 2004)
• Internet Explorer ist einfach zu riskant (Stephen H. Wildstrom, Arbeitswoche, 29. Juni 2004)
• Sind der Browser Wars zurück?: Wie Mozillas Firefox Internet Explorer übertrumpft (Paul Boutin, MSN Schiefer, 30. Juni 2004)
• Bruce Schneier: Microsoft hat noch Arbeit zu tun (Bill Brenner, Searchsecurity.com, 4. Oktober 2004)