Эксперты по компьютерной безопасности предупреждают о быстром увеличении
количества сайтов, инфицированных спам-ботнетом Asprox. Сообщается, что Asprox
способен проводить атаки с помощью SQL-инъекций, и что именно таким образом он
практически мгновенно удвоил свое присутствие на сайтах поставщиков услуг
доступа к приложениям. Так, за одну только ночь число скомпрометированных
ресурсов выросло с 5 до 11 тысяч.
Фирма M86 Security, ведущая тщательное наблюдение за новой угрозой, присвоила
ей статус “крайне опасной”, имея в виду, что данному вопросу следует уделить
особое внимание. К примеру, аналитик M86 Security Родель Мендрез отмечает
в сообщении на блоге, что картина поведения ботнета Asprox изменилась – если
раньше он использовался только для рассылки спама, то сейчас с его помощью
осуществляются SQL-инъекции и массовые заражения сайтов.
“На этой неделе наши подозрения подтвердились – обновленная версия Asprox
рассылает спам и проводит SQL-атаки”, - пишет он.
Проникнув на скомпрометированные ресурсы, боты пытаются установить соединение
с тремя доменами в зоне .ru. По словам Мендреза, эти домены представляют собой
серверы управления ботнетом, выдающие ему шаблоны спам-сообщений, списки целевых
адресов электронной почты и сайтов, а также обновления. Кроме того, боты
загружают зашифрованный XML-файл, содержащий шаблоны поисковых запросов в
Google, служащие для определения целей новых атак.