Websense Security Labs информирует о массовом SQL injection, которое в момент написания этого текста обнаруживается на 252 000 сайтах (ещё вчера было 28 000). Как сообщает Websense Security Labs, в какой-то момент число заражённых сайтов превышало 380 000. Таким образом, это одна из самых массовых атак SQL injection за всё время. URL из вредоносного скрипта сейчас недоступен,но когда он работал, то редиректил юзеров на сайт hxxp://defender-uqko.in с известным фиктивным антивирусом Rogue AV. Домен lizamoon.com зарегистрирован четыре дня назад на явно фиктивные данные. 31.03.2011 http://habrahabr.ru/blogs/infosecurity/116563/
Скрипт LizaMoon найден уже на 500 тысячах сайтов Еще 31 марта во многих интернет-сми, в том числе, и на Хабре, появилась новость о том, что эксперты обнаружили массовую SQL-инъекцию вредоносного скрипта LizaMoon. На тот момент количество зараженных сайтов достигало около 200 тысяч. На днях команда специалистов провела повторный поиск (собственно, ничего сложного — специалисты использовали поиск Google для обнаружения зараженных сайтов). В результате выяснилось, что эпидемия не пошла на спад, наоборот — уже 1 апреля около полумиллиона сайтов содержали этот скрипт. Конечно, поисковая выдача Google — не идеальный инструмент для проведения такого анализа, но и такой способ позволяет получить грубое представление о масштабах эпидемии. Предполагаемое количество зараженных сайтов в настоящий момент — 1,5 миллиона. Задача скрипта LizaMoon проста — перенаправлять пользователя, зашедшего на зараженный сайт, на другой сайт, который создан злоумышленниками. Далее пользователь видит сообщение о том, что безопасность его компьютера под угрозой, и «сканер» обнаружил всякие там бреши в защите. После того, как пользователь нажимает «ОК», начинается «сканирование» компьютера, в результате чего находится большое количество «вирусов». После окончания работы этого «сканера» пользователю предлагается удалить все вирусы, путем скачивания «антивируса» на свой ПК. Само собой, вместо эффективного антивируса наивный юзер получает руткит, блокирующий работу некоторых вполне нормальных программ. При попытке запуска такой программы, фальшивый антивирус сообщает о том, что на ПК обнаружен троянчик, и тут же выводится сообщение с предложением удалить найденный «троян». При нажатии копки «удалить», зловредное ПО предлагает установить еще более «эффективный инструмент» для борьбы с этими вирусами. В общем, к концу такой проверки своего ПК на наличие вирусов пользователь получает целый зверинец вирусов и троянов, которые начинают работать на благо создателя. Фальшивый антивирус, к слову, называется Windows Stability Center, и за его «полную версию» пользователю еще и предлагают заплатить. Наибольшее распространение проблема с LizaMoon получила в США, в Канаде, Италии, Бразилии, Великобритании. По мнению экспертов из Websense, эпидемии подобного масштаба случаются очень редко, и теперь вряд ли проблему удастся быстро локализовать. В настоящее время всего 17 из 43 более-менее известных антивирусов определяют троянское ПО, полученное благодаря скрипту LizaMoon. Среди «правильного» ПО, которое таки обнаруживает весь этот зверинец — антивирусы от Kaspersky, Microsoft, Sophos, Symantec, Trendmicro, VIPRE. http://habrahabr.ru/blogs/infosecurity/116738/
