Més de 100.000 pàgines web, algunes pertanyents als diaris, els departaments de policia, i altres grans organitzacions, s'han vist afectats per un atac en els últims dies que redirigia els visitants a un lloc web que va intentar instal·lar malware en les seves màquines.
L'atac sembla haver afectats llocs utilitzant un mòdul de banner-adds a la part superior de Microsoft Internet Information Services utilitzant ASP.net. Intljobs.org, wsj.com The Wall Street Journal, i tomtom.com.tw han estat hackejats, a més de The Jerusalem Post i el lloc web del departament de policia del comtat britànic de Strathclyde .
Les cerques de Google va indicar el dimarts més de 100.000 pàgines infectades, però aquest nombre s'havia reduït a prop de 7.750 en el moment de l'escriptura.
Els llocs van ser infectats amb injeccions SQL, que permet a l'atacant manipular la base de dades d'un servidor teclejant comandes en els quadres de cerca i altres camps d'entrada per l'usuari. Els pirates informàtics utilitzen l'exploit per insertar iframes en els llocs susceptibles per redirigir els visitants a robint.us. El Javascript maliciós en aquest lloc va infectar als usuaris finals amb Mal/Behav-290 malware d'acord amb l'empresa Sophos.
Robint.us ha estat desactivada. L'acció permetrà als investigadors de Shadowserver obtenir una llista completa de llocs en perill i per reunir informació addicional sobre com l'atac es va dur a terme. Els detalls es publicaran en breu.
Els atacs d'injecció SQL provenia de l'adreça IP 121.14.154.69 a la Xina..., Robint.us es va registrar a Dongguan, Xina, segons els registres de whois.
L'atac sembla haver afectats llocs utilitzant un mòdul de banner-adds a la part superior de Microsoft Internet Information Services utilitzant ASP.net. Intljobs.org, wsj.com The Wall Street Journal, i tomtom.com.tw han estat hackejats, a més de The Jerusalem Post i el lloc web del departament de policia del comtat britànic de Strathclyde .
Les cerques de Google va indicar el dimarts més de 100.000 pàgines infectades, però aquest nombre s'havia reduït a prop de 7.750 en el moment de l'escriptura.
Els llocs van ser infectats amb injeccions SQL, que permet a l'atacant manipular la base de dades d'un servidor teclejant comandes en els quadres de cerca i altres camps d'entrada per l'usuari. Els pirates informàtics utilitzen l'exploit per insertar iframes en els llocs susceptibles per redirigir els visitants a robint.us. El Javascript maliciós en aquest lloc va infectar als usuaris finals amb Mal/Behav-290 malware d'acord amb l'empresa Sophos.
Robint.us ha estat desactivada. L'acció permetrà als investigadors de Shadowserver obtenir una llista completa de llocs en perill i per reunir informació addicional sobre com l'atac es va dur a terme. Els detalls es publicaran en breu.
Els atacs d'injecció SQL provenia de l'adreça IP 121.14.154.69 a la Xina..., Robint.us es va registrar a Dongguan, Xina, segons els registres de whois.
