阿碼科技透過部落格表示,大約五十萬或是五百萬個Network Solutions所代管的網域(Domain)感染惡意軟體長達數月,主要是透過網頁上的中小企業小工具感染。阿碼科技也指出,入侵網站代管公司似乎已成為一種趨勢。
此事的發現起因於Network Solutions的客戶質疑,為何阿碼科技公司產品認定為遭感染的網站Google等檢查機制卻認為沒問題。因此阿碼科技開始進行調查,結果發現 Network Solutions所代管的網站遭感染。稍後透過搜尋引擎搜尋其中的關鍵字,發現事態嚴重:Google搜尋出五十萬筆網頁,雅虎更搜出五百萬筆。據了解,之前的惡意感染最高紀錄是1.1萬個網頁。
一開始阿碼科技追蹤遭感染的GrowSmartBusiness.com網域上的一個「中小企業成功指南」(Small Business Success Index)widget,但隨即發現Network Solutions轄下已註冊但未提供內容的網站,內定都會安裝該widget。惡意軟體利用這些網域散佈攻擊的程式碼,或幫人提高網路搜尋的排名,藉以賺取利益。另外,阿碼科技實驗證明,其他網站或部落格只要安裝該widget,也會成為惡意軟體的感染源。
該widget會依照使者使用的瀏覽器,含括IE、火狐、Chrome、Opera瀏覽器,下載不同的攻擊程式。一旦成功破解瀏覽器,木馬便進駐 Windows,會搜尋電腦的內容、重新導向網路,並顯示彈出式廣告。還有一款惡意軟體「Koobface」,會透過用戶的Facebook帳號進行攻擊與感染。另外有部份的程式碼特別針對香港與台灣地區的電腦才會執行。
阿碼科技指出,由於該惡意軟體主要寄宿在未提供內容的網域,而搜尋引擎對這類網域沒什麼興趣,所以搜尋出來的數量可能遠低於實際感染的數目。但Network Solutions的發言人僅表示實際感染的數目低於週六公佈的數目,該公司還在計算實際受感染的網站數目。
目前Network Solutions已經把未提供內容網域上的widget移除,但仍有5700個有提供內容的網站使用該widget。而且針對台灣與香港的惡意程式也尚未移除。
今年四月,Network Solutions與GoDaddy所託管的WordPress部落格網站受到大規模入侵,隨後業者與WordPress皆提出解決方案,業者不排除駭客當時因此將惡意軟體從部落格移轉到未提供內容的網域上。阿碼科技指出駭客可能刻意針對網站代管公司進行入侵,畢竟只要入侵代管公司,就可以掌握大量的電腦與網站。(編譯/沈經)
