Nineball – przekierowania i infekcja stron

Pojawiło się nowe, poważne zagrożenie w Internecie, przed którym na razie trudno się bronić. Nineball przekierowuje użytkowników wpisujących w wyszukiwarkach słowa kluczowe do witryn zawierających złośliwy kod. Nawet 40 tysięcy stron WWW.

Kod Nineballa umożliwia wykonywanie wielopoziomowych ataków, polegających na przekierowaniu użytkownika i załadowaniu końcowej podstrony zawierającej gotowego do instalacji konia trojańskiego. Rejestrowany jest także adres IP ofiary. Wśród serwisów wykorzystywanych do przekierowania jest między innymi wyszukiwarka Ask.com.

Na początku cyberprzestępcy nie szkodzili komputerom. Ich celem było tylko zainfekowanie jak największej liczby stron. Aby uniknąć wykrycia atakujący wykorzystywali polimorficzny kod. W krótkim czasie zaczęli dystrybucję złośliwego oprogramowania przez serwis ninetoraq.

Schemat działania Nineballa (powiększ):

Kolejny etap polegał na sprawdzeniu komputera ofiary pod kątem luk istniejących w takich programach jak MDAC, AOL SuperBuddy, Acrobat Reader czy QuickTime. Znalezienie furtki skutkowało skopiowaniem zarażonego pliku PDF lub zainstalowaniem trojana wykradającego prywatne dane.

Aktualnie niestety żaden program antywirusowy nie jest w stanie wykryć wszystkich elementów Nineballa. Tylko trzy z 41 najpopularniejszych aplikacji usuwają jeden z exploitów.

Luka w DirectX

Microsoft poinformował o wykryciu krytycznej luki w DirectX. Błąd umożliwia hakerowi zdalne wykonanie dowolnego kodu, jeżeli użytkownik otworzy specjalnie spreparowany plik QuickTime.

Lukę można wykorzystać w następujących systemach operacyjnych: Windows 2000, Windows XP oraz Windows 2003. Użytkowników Visty i Windows Server 2008 luka nie dotyczy. Problem, zgodnie z Microsoft Security Advisory leży w QuickTime Movie Parser Filter, który DirectShow wykorzystuje do przetwarzania plików w tym formacie. Atak można przeprowadzić za pomocą spreparowanej strony internetowej otwartej w dowolnej przeglądarce. Na komputerze ofiary nie musi być niestety zainstalowane oprogramowanie QuickTime.