image

Printbom verspreidt zich via gehackte htaccess

donderdag 5 juli 2012, 13:50 door Redactie, 7 reacties

De printbom-malware die twee weken geleden werd ontdekt blijkt zich via gehackte htaccess-bestanden te verspreiden. Het gaat om de Milicenso Trojan, waarvan de nieuwste versie een onbedoelde bijwerking op besmette machines heeft. De malware stuurt namelijk een gigantische printjob naar de printserver, die de printer net zolang 'garbage' laat printen totdat al het papier op is.

Volgens Symantec wordt de malware door een .htaccess redirection-aanval verspreid en zouden er tenminste 4..000 websites zijn gehackt door de bende die erachter zit. Het .htaccess-bestand is een configuratiebestand voor webservers waarmee de webmaster bepaalde pagina's kan afschermen of bijvoorbeeld mobiele apparaten speciale websites kan laten zien. De bende achter Milicenso zou tal van kwetsbare webservers hebben gehackt en het .htaccess-bestand hebben aangepast.

Zodra een internetgebruiker de website op de gehackte webserver laadt, wordt ook het aangepaste htaccess-bestand geladen. Dit bestand stuurt de internetgebruiker naar een kwaadaardige website door, die via verschillende beveiligingslekken malware op het systeem plaatst. Deze 'redirect' vindt meestal onzichtbaar voor de gebruiker plaats.

Witregels
Om de aanpassing van het htaccess-bestand te verbergen, plaatsen de aanvallers 800 witregels boven en onder het aangepaste gedeelte. Verder wordt een gebruiker slechts één keer doorgestuurd, om zo detectie of onderzoek door onderzoekers te beletten. De malware werkt alleen op Windows. Wie de gehackte webserver via Linux of Mac bezoekt wordt niet naar de kwaadaardige website doorgestuurd.

Volgens Symantec worden alleen gebruikers van "een populaire webbrowser" doorgestuurd. Bij "onconventionele webbrowsers" of zoekmachines zou er geen redirect plaatsvinden. Om welke browser het gaat wil het anti-virusbedrijf niet zeggen.

Reacties (7)
05-07-2012, 15:21 door SirDice
En hoe passen ze die .htaccess aan? Welke bug wordt er misbruikt om dat voor elkaar te krijgen?
05-07-2012, 15:30 door Anoniem
leuke infectie :P!!!!
05-07-2012, 16:00 door Acid Burn
Goeie vraag SirDice. De enige waarvan ik het bestaan van weet is echt heel oud, toen de eerste apache versies nog lek waren :P
05-07-2012, 19:48 door spatieman
/sarcasme.
snel dat redirecten verbieden !!
05-07-2012, 22:27 door [Account Verwijderd]
[Verwijderd]
05-07-2012, 22:38 door [Account Verwijderd]
[Verwijderd]
06-07-2012, 14:05 door Anoniem
Het komt ook weleens voor dat de FTP-logins van een website achterhaald worden. Dan kan je eenvoudig malware toevoegen aan eender welk bestand dan ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.