Nineball – przekierowania i infekcja stron

Pojawiło się nowe, poważne zagrożenie w Internecie, przed którym na razie trudno się bronić. Nineball przekierowuje użytkowników wpisujących w wyszukiwarkach słowa kluczowe do witryn zawierających złośliwy kod. Nawet 40 tysięcy stron WWW.

Kod Nineballa umożliwia wykonywanie wielopoziomowych ataków, polegających na przekierowaniu użytkownika i załadowaniu końcowej podstrony zawierającej gotowego do instalacji konia trojańskiego. Rejestrowany jest także adres IP ofiary. Wśród serwisów wykorzystywanych do przekierowania jest między innymi wyszukiwarka Ask.com.

Na początku cyberprzestępcy nie szkodzili komputerom. Ich celem było tylko zainfekowanie jak największej liczby stron. Aby uniknąć wykrycia atakujący wykorzystywali polimorficzny kod. W krótkim czasie zaczęli dystrybucję złośliwego oprogramowania przez serwis ninetoraq.

Schemat działania Nineballa (powiększ):

Kolejny etap polegał na sprawdzeniu komputera ofiary pod kątem luk istniejących w takich programach jak MDAC, AOL SuperBuddy, Acrobat Reader czy QuickTime. Znalezienie furtki skutkowało skopiowaniem zarażonego pliku PDF lub zainstalowaniem trojana wykradającego prywatne dane.

Aktualnie niestety żaden program antywirusowy nie jest w stanie wykryć wszystkich elementów Nineballa. Tylko trzy z 41 najpopularniejszych aplikacji usuwają jeden z exploitów.