RSS
 

Twittertrender i malwarekod

05 Feb

De senaste veckorna har ett botnet använts för att ladda upp malware på legitima hemsidor. Intrånget har skett via FTP, antagligen har inloggningsuppgifterna kapats av ett virus på hemsideägarnas datorer.

Javascriptkoden som läggs in i html-filerna är avancerad och svår att analysera. Unmaskparasites.com har gjort ett utmärkt arbete med att gå genom koden och malwareutvecklarna fortsätter att imponera. Javascriptkoden hämtar information om trenderna på Twitter i förrgår och använder den information i kombination med aktuell tid för att räkna fram det domännamn javascriptet ska skapa en iframe till. På så sätt ändras domännamnet fyra gånger per dygn och är ofta ändrat redan innan domännamnet hunnit stängas av eller svartlistas.

I fredags registrerade jag två av de domännamn som skulle användas så att jag kunde analysera trafiken. Under de timmar som javascriptkoden skapade iframe till de två domännamnen försökte 1496 olika ip-nummer ansluta, med 802 olika hostnames som referer. Det är alltså inte några stora sajter som infekteras men malwarekoden har stor spridning.

I skrivande stund finns det 13 se-domäner som är infekterade med denna malwarekod. Dessutom finns det ytterligare 19 se-domäner som har en liknande javascriptkod som inte verkar fungera.

 
 

Lämna en kommentar