Ruim een jaar geleden kreeg het botnet Asprox bekendheid doordat het een aantal websites van gerespecteerde organisaties had gecompromitteerd. Nu is het botnet opnieuw tot leven gekomen, dat schrijft Gary Warner van de universiteit van Alabama op zijn blog.

Volledig geautomatiseerd

Asprox is vernoemd naar de toolkit waarmee de sites besmet worden. Het aanval-proces van Asprox is helemaal geautomatiseerd, zodat er in korte tijd een groot aantal websites aangevallen kunnen worden. Het gebruikt een SQL injectie aanval om een kwetsbaarheid in de ASP pagina’s op IIS servers uit te buiten en zo wat JavaScript neer te zetten op legitieme websites. Die zorgt weer voor het laden van een iFRAME, dat er vervolgens voor zorgt dat de code wordt geladen waarmee gebruikers worden aangevallen. Bijna als vanzelfsprekend wordt daarvoor een bug gebruikt in Adobe’s Flash Player.

Nu al groter dan in 2008

Volgens Shadowserver zijn er in deze golf al meer dan 2000 websites geïnfecteerd, en dat is meer dan in de eerste aanval van ruim een jaar geleden. De aanvallers hebben intussen ook het een en ander aan hun programma versleuteld. De structuur van de configuratiefile is aangepast en er zijn nieuwe command and control computers toegevoegd.

Bron: Techworld