荷蘭使用者最近被一個受入侵網站當做目標,一個在荷蘭相當受歡迎的新聞網站nu.nl。這個網站被入侵淪陷之後,被修改成會加入一個惡意框架,進而讓訪問者的電腦感染一個SINOWAL的變種。
趨勢科技的研究員Feike Hacquebord指出,考慮到這次攻擊的各種特點,它似乎就是特別設計來感染荷蘭的使用者。除了因為遭入侵網站是他們國家最流行的網站外,插入在網站的腳本正好在荷蘭的午餐時間前被啟動,而這時間通常是荷蘭使用者在辦公室裡用來看看新聞或其他網站的時候。
跟據nu.nl所發表的聲明,他們認為攻擊者攻擊了新聞群組內容管理系統(CMS)的一個漏洞,讓他們插入了2個腳本(g.js和gs.js)到nu.nl的子網域內。
調查結果顯示,這個被趨勢科技偵測為JS_IFRAME.HBA的腳本是高度加密的腳本,一旦執行就會將使用者帶到另一個帶有各種漏洞攻擊碼的腳本。
這個漏洞攻擊包被偵測為JS_BLACOLE.HBA,就是Nuclear漏洞攻擊包。一旦執行之後,它會檢查系統上是否有任何有漏洞的軟體,然後下載適用的漏洞攻擊碼來進行攻擊。
根據對這攻擊包程式碼所做的分析,帶有下列未經修補應用程式版本的電腦可能會被這種威脅感染成功:
- Adobe Reader版本在8和9.3之間
- Java版本在5和6之間,還有5.0.23和6.0.27之間 繼續閱讀