[u-help]

Еще 31 марта во многих интернет-сми появилась новость о том, что эксперты обнаружили массовую SQL-инъекцию, ведущую на сайт LizaMoon.com. На тот момент количество зараженных сайтов достигало около 200 тысяч. На данный момент в результатах поиска Google LizaMoon найден на 694 тысячах сайтов. Конечно, поисковая выдача Google — не идеальный инструмент для проведения такого анализа, но и такой способ позволяет получить грубое представление о масштабах взлома.

Похоже, что атака не была нацелена на какие-то конкретные серверы, так как ей подверглись ресурсы, работающие на ASP, ASP.NET, ColdFusion, JSP и PHP. Атаки с внедрением SQL-кода использует плохо написанные Web-приложения, которые напрямую пишут данные в базы данных. SQL-инъекция корректирует текстовые поля внутри базы данных, добавляя к ним фрагмент HTML, который, в свою очередь, загружает Javascript с удаленного сервера.

Задача скрипта LizaMoon проста — добавить редирект в страницу и перенаправить пользователей сайтов на посторонние сайты, большинство ведут на сайты продажи фейковых антивирусов. Фальшивый антивирус называется Windows Stability Center (скриншот), и за его «полную версию» пользователю предлагают заплатить.

Наибольшее распространение проблема с LizaMoon получила в США, в Канаде, Италии, Бразилии, Великобритании. По мнению экспертов из Websense, эпидемии подобного масштаба случаются очень редко, и теперь вряд ли проблему удастся быстро локализовать. В настоящее время всего 17 из 43 более-менее известных антивирусов определяют троянское ПО, полученное благодаря скрипту LizaMoon.