TrendLabs 在5月初發現了 90 個遭入侵的義大利網站,這可能演變成 2007 年 6 月發生的大規模義大利網站遭感染事件的一週年「紀念」。遭入侵的網站性質各不相同;去年入侵的網站多為旅遊休閒業者,今年則是以影迷網站為主,包含 :
莫妮卡貝魯奇 (Monica Bellucci,著名義大利演員及模特兒) 官方網站
義大利賓士 (Mercedes-Benz) 俱樂部
Sabrina Salerno (義大利歌星) 官方網站
強尼戴普 (Johnny Depp) 影迷網站
Pearl Jam 歌迷網站
據
趨勢科技的分析師表示,整個攻擊行動的流程如下所述:
1. 遭入侵的網站內含經過混淆處理的惡意 JavaScript 指令碼 (偵測名稱為 JS_AFIR.A),會將使用者轉向惡 意網址 h
ttp://{省略}f.com/cgi-bin/index.cgi?grobin (已於 4 月 27 日被 Web 信譽評等服務所封鎖)。這段指令碼會檢查 Internet Explorer 的版本及語言,並只針對義大利文版本進行攻擊。
2. 上述網址會將使用者轉向另一個網址:http://{省略}r.com/cgi-bin/index.cgi?grb&js=1。我們發現這兩個惡意網站都位於美國加州聖地牙哥的同一個 IP 之下。
3. 這兩個網站會從同一個網域下載 TROJ_SINOWAL.CB (於 4 月 26 日 GMT 首次偵測到)。接著 TROJ_SINOWAL.CB 會再植入 BKDR_SINOWAL.CF (於 4 月 30 日 GMT 首次偵測到),然後這個後門程式會在遭感染的 PC 上植入一個 Rootkit。
這個 Rootkit 元件會修改遭感染硬碟上的某些磁區。它還會攔截
Driver.sys 以保護這些磁區,防止防毒/安全防護軟體讀取及寫入。
目前已知 SINOWAL 惡意程式變種會在遭感染的系統中植入資訊竊取程式。TrendLabs 發現這一波入侵行動至少採用兩種不同的攻擊模式:一種是在網站中植入經過混淆處理的指令碼,將使用者轉向特定惡意網址;另一種則是同時運用可辨讀的 iFrame 以及以上這段經過混淆處理的指令碼。
趨勢科技已針對這個資安威脅提供客戶完整保護,防止他們遭受任何損害。Web 資安威脅防護技術自 2008 年 4 月 27 日起也已禁止存取上述網站。這些網址都已加入我們的緊急資料庫中,並且被 WCS (Web Classify Server,Web 分級伺服器) 封鎖,防止我們的客戶存取。此外,RootkitBuster 工具也能掃瞄出這一波攻擊所使用的 MBR Rootk 元件。
